Säkerhetsbulletin från Debian

DSA-2400-1 iceweasel -- flera sårbarheter

Rapporterat den:
2012-02-02
Berörda paket:
iceweasel
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Ytterligare information:

Flera sårbarheter har upptäckts i Iceweasel, en webbläsare baserad på Firefox. Det inkluderade biblioteket XULRunner tillhandahåller renderingstjänster för flera andra applikationer som inkluderas i Debian.

  • CVE-2011-3670

    Gregory Fleischer upptäckte att IPv6-URLer tolkades felaktigt, vilket resulterar i potentiellt utlämnande av information.

  • CVE-2012-0442

    Jesse Ruderman och Bob Clary upptäckte minneskorruptionsfel, som kan leda till körning av godtycklig kod.

  • CVE-2012-0444

    regenrecht upptäckte att saknad rengöring av indata i Ogg Vorbis-tolken kan leda till körning av godtycklig kod.

  • CVE-2012-0449

    Nicolas Gregoire och Aki Helin upptäckte att saknad rengöring av indata i XSLT-behandling kan leda till körning av godtycklig kod.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.9.0.19-13 av källkodspaketet xulrunner.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-12.

För den instabila utgåvan (Sid) har detta problem rättats i version 10.0-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.