Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2313-1 iceweasel

Bulletin d'alerte Debian

DSA-2313-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

29 septembre 2011

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox.

• CVE-2011-2372

  Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une boîte de dialogue de téléchargement — dont l'action ouvrir est configurée par défaut —, quand un utilisateur presse la touche Entrée.

• CVE-2011-2995

  Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire.

• CVE-2011-2998

  Mark Kaplan a découvert un débordement d'entier par le bas dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2011-2999

  Boris Zbarsky a découvert qu'un traitement incorrect de l'objet window.location pourrait permettre de contourner la politique de même origine.

• CVE-2011-3000

  Ian Graham a découvert que plusieurs en-têtes Location pourraient permettre une injection de fin de ligne (CRLF).

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-14 du paquet source xulrunner. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-10. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.0-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.