Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2296-1 iceweasel

Bulletin d'alerte Debian

DSA-2296-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

17 août 2011

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications distribuées dans Debian.

• CVE-2011-0084

  regenrecht a découvert qu'une manipulation incorrecte de pointeur dans le code de traitement de SVG pourrait conduire à l'exécution de code arbitraire.

• CVE-2011-2378

  regenrecht a découvert qu'une gestion incorrecte de mémoire dans le traitement de DOM pourrait conduire à l'exécution de code arbitraire.

• CVE-2011-2981

  moz_bug_r_a_4 a découvert une vulnérabilité d'augmentation de droits de Chrome dans le code de traitement d'événements.

• CVE-2011-2982

  Gary Kwong, Igor Bukanov, Nils et Bob Clary ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

• CVE-2011-2983

  shutdown a découvert une fuite d'informations dans le traitement de RegExp.input.

• CVE-2011-2984

  moz_bug_r_a4 a découvert une vulnérabilité d'augmentation de droits de Chrome.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-13 du paquet source xulrunner.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-9.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.0-1

Nous vous recommandons de mettre à jour vos paquets iceweasel.