Bulletin d'alerte Debian

DSA-2400-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :
2 février 2012
Paquets concernés :
iceweasel
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.

  • CVE-2011-3670

    Gregory Fleischer a découvert que les URL IPv6 n'étaient pas correctement analysées, avec pour conséquence une éventuelle divulgation d'informations.

  • CVE-2012-0442

    Jesse Ruderman et Bob Clary ont découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

  • CVE-2012-0444

    regenrecht a découvert que l'absence de vérification des entrées dans l'analyseur Ogg Vorbis pourrait conduire à l'exécution de code arbitraire.

  • CVE-2012-0449

    Nicolas Gregoire et Aki Helin ont découvert que des vérifications d'entrée manquantes dans le traitement XSLT pourraient conduire à l'exécution de code arbitraire.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-13 du paquet source xulrunner.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-12.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.