Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1489-1 iceweasel -- Mehrere Verwundbarkeiten

Datum des Berichts:

10. Feb 2008

Betroffene Pakete:

iceweasel

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2008-0412, CVE-2008-0413, CVE-2008-0414, CVE-2008-0415, CVE-2008-0416, CVE-2008-0417, CVE-2008-0418, CVE-2008-0419, CVE-2008-0591, CVE-2008-0592, CVE-2008-0593, CVE-2008-0594.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Iceweasel-Webbrowser entdeckt, einer wegen Markenproblemen umbenannten Version des Firefox-Browsers. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2008-0412

  Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren und Paul Nickerson entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

• CVE-2008-0413

  Carsten Book, Wesley Garland, Igor Bukanov, moz_bug_r_a4, shutdown, Philip Taylor und tgirmann entdeckten Abstürze in der JavaScript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

• CVE-2008-0414

  hong und Gregory Fleischer entdeckten, dass Dateieingabefokus-Verwundbarkeiten im Datei-Upload-Widget eine Informationsenthüllung lokaler Dateien ermöglichen könnten.

• CVE-2008-0415

  moz_bug_r_a4 und Boris Zbarsky entdeckten mehrere Verwundbarkeiten im Umgang mit JavaScript, die eine Privilegienerweiterung ermöglichen könnten.

• CVE-2008-0417

  Justin Dolske entdeckte, dass der Passwortspeichermechanismus von bösartigen Websites missbraucht werden kann, um existierende gespeicherte Passwörter zu beschädigen.

• CVE-2008-0418

  Gerry Eisenhaur und moz_bug_r_a4 entdeckten, dass eine Verzeichnisüberschreitungsverwundbarkeit im Umgang mit chrome:-URIs zu Informationsenthüllungen führen könnte.

• CVE-2008-0419

  David Bloom entdeckte eine Race-Condition im Umgang mit Bildern von designMode-Elementen, was zu einer Informationsenthüllung und möglicherweise der Ausführung beliebigen Codes führen könnte.

• CVE-2008-0591

  Michal Zalewski entdeckte, dass Timer, die sicherheitsrelevante Dialoge sichern (durch Deaktivieren von Dialog-Elementen, bis ein Timeout erreicht ist), durch Fensterfokus-Wechsel mittels JavaScript umgangen werden können.

• CVE-2008-0592

  Es wurde entdeckt, dass missgestaltete Inhaltserklärungen gespeicherter Anhänge einen Benutzer daran hindern könnten, lokale Dateien mit einem .txt-Dateinamen zu öffnen, was zu einer minimalen Diensteverweigerung (denial of service) führt.

• CVE-2008-0593

  Martin Straka entdeckte, dass ein unsicherer Umgang mit Stylesheets während Umleitungen zu einer Informationsenthüllung führen könnte.

• CVE-2008-0594

  Emil Ljungdahl und Lars-Olof Moilanen entdeckten, dass ein Phishing-Schutz mit <div>-Elementen umgangen werden kann.

Die Mozilla-Produkte aus der alten Stable-Distribution (Sarge) werden nicht mehr mit Sicherheitsaktualisierungen unterstützt.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.0.0.12-0etch1 behoben.

Wir empfehlen Ihnen, Ihre iceweasel-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (stable)

Quellcode:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12.orig.tar.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.diff.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.12-0etch1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_amd64.deb

HP Precision:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein