Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-1649-1 iceweasel -- varias vulnerabilidades

Fecha del informe:

8 de oct de 2008

Paquetes afectados:

iceweasel

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069.

Información adicional:

Se han descubierto varias vulnerabilidades remotas en el navegador web Iceweasel, la versión sin marca del navegador Firefox. El proyecto Common Vulnerabilities and Exposures ha identificado los siguientes problemas:

• CVE-2008-0016

  Justin Schuh, Tom Cross y Peter Williams descubrieron un desbordamiento de búfer en el analizador sintáctico para URLs con formato UFT-8, lo que puede llevar a una ejecución de código arbitrario.

• CVE-2008-3835

  moz_bug_r_a4 descubrió que la comprobación de mismo origen en nsXMLDocument::OnChannelRedirect() se puede sortear

• CVE-2008-3836

  moz_bug_r_a4 descubrió que hay varias vulnerabilidades en feedWriter que pueden conllevar una escalada de privilegios en Chrome.

• CVE-2008-3837

  Paul Nickerson descubrió que un atacante puede mover ventanas mientras se pulsa con el ratón, dando lugar a que se ejecute una acción no deseada al arrastrar y soltar con el ratón.

• CVE-2008-4058

  moz_bug_r_a4 descubrió una vulnerabilidad que puede llevar a una escalada de privilegios de Chrome, a través de XPCNativeWrappers.

• CVE-2008-4059

  moz_bug_r_a4 descubrió una vulnerabilidad que puede llevar a una escalada de privilegios de Chrome, a través de XPCNativeWrappers.

• CVE-2008-4060

  Olli Pettay y moz_bug_r_a4 descubrieron una escalada de privilegios de Chrome en el manejo de XSLT.

• CVE-2008-4061

  Jesse Ruderman descubrió un cuelgue en el motor de presentación, que puede permitir la ejecución de código arbitrario.

• CVE-2008-4062

  Igor Bukanov, Philip Taylor, Georgi Guninski y Antoine Labour descubrieron cuelgues en el motor Javascript que pueden permitir la ejecución de código arbitrario.

• CVE-2008-4065

  Dave Reed descubrió que algunas marcas de orden de byte en Unicode se eliminan del código Javascript antes de ser ejecutadas, lo que puede llevar a la ejecución de código que normalmente forma parte de una cadena entre comillas.

• CVE-2008-4066

  Gareth Heyes descubrió que algunos caracteres de sustitución de Unicode son ignorados por el analizador sintáctico de HTML.

• CVE-2008-4067

  Boris Zbarsky descubrió que las URL de tipo resource: permiten la inspección de directorios si se codifica el caracter / en la URL.

• CVE-2008-4068

  Georgi Guninski descubrió que las URL de tipo resource: pueden sortear las restricciones locales de acceso.

• CVE-2008-4069

  Billy Hoffman descubrió que el descodificador XBM puede desvelar memoria sin inicializar.

Para la versión estable (etch) este problema se ha resuelto en la versión 2.0.0.17-0etch1. Los paquetes para hppa se proporcionarán más tarde.

Para la versión inestable (sid) este problema se ha resuelto en la versión 3.0.3 de iceweasel y 1.9.0.3-1 de xulrunner.

Recomendamos que actualice el paquete iceweasel.

Arreglado en:

Debian GNU/Linux 4.0 (etch)

Fuentes:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17.orig.tar.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.diff.gz

Componentes independientes de la arquitectura:

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.17-0etch1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français 日本語 (Nihongo) svenska

Cómo modificar el idioma por defecto de los documentos