Debians sikkerhedsbulletin
DSA-2400-1 iceweasel -- flere sårbarheder
- Rapporteret den:
- 2. feb 2012
- Berørte pakker:
- iceweasel
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Iceweasel, en webbrowser baseret på Firefox. Det medfølgende XULRunner-bibliotek leverer renderingtjenster til flere andre applikationer, som Debian distribuerer.
- CVE-2011-3670
Gregory Fleischer opdagede at IPv6-URL'er blev fortolket på forkert vis, potentielt medførende informationsafsløring.
- CVE-2012-0442
Jesse Ruderman og Bob Clary opdagede hukommelseskorrupotionsfejl, der kunne føre til udførelse af vilkårlig kode.
- CVE-2012-0444
regenrecht
opdagede, at manglende fornuftighedskontrol af inddata i Ogg Vorbis-fortolkeren, kunne føre til udførelse af vilkårlig kode. - CVE-2012-0449
Nicolas Gregoire og Aki Helin opdagede, at manglende fornuftighedskontrol af inddata i XSLT-behandling, kunne føre til udførelse af vilkårlig kode.
I den gamle stabile distribution (lenny), er dette problem rettet i version 1.9.0.19-13 af kildekodepakken xulrunner.
I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-12.
I den ustabile distribution (sid), er dette problem rettet i version 10.0-1.
Vi anbefaler at du opgraderer dine iceweasel-pakker.
- CVE-2011-3670