Рекомендация Debian по безопасности

DSA-2400-1 iceweasel -- несколько уязвимостей

Дата сообщения:
02.02.2012
Затронутые пакеты:
iceweasel
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Более подробная информация:

В Iceweasel, веб-браузере на основе Firefox, было обнаружено несколько уязвимостей. Содержащаяся в пакете библиотека XULRunner предоставляет возможности отрисовки для нескольких других приложений из Debian.

  • CVE-2011-3670

    Грегори Фляйшер обнаружил, что грамматический разбор URL IPv6 выполняется неправильно, что приводит к потенциальному раскрытию информации.

  • CVE-2012-0442

    Джесс Радерман и Боб Клэри обнаружили ошибки с повреждением содержимого памяти, которые могут приводить к выполнению произвольного кода.

  • CVE-2012-0444

    regenrecht обнаружил, что отсутствие очистки входных данных в коде для грамматического разбора Ogg Vorbis может приводить к выполнению произвольного кода.

  • CVE-2012-0449

    Николас Грегори и Аки Хелин обнаружили, что отсутствие очистки входных данных в коде обработки XSLT может приводить к выполнению произвольного кода.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.9.0.19-13 пакета с исходным кодом xulrunner.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.5.16-12.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 10.0-1.

Рекомендуется обновить пакеты iceweasel.