Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2488-1 iceweasel

Debians sikkerhedsbulletin

DSA-2488-1 iceweasel -- flere sårbarheder

Rapporteret den:

7. jun 2012

Berørte pakker:

iceweasel

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Iceweasel, en webbrowser baseret på Firefox. Det medfølgende XULRunner-bibliotek leverer renderingtjenester til flere andre applikationer i Debian.

• CVE-2012-1937

  Mozilla-udviklere opdagede flere hukommelseskorruptionsfejl, hvilke kunne føre til udførelse af vilkårlig kode.

• CVE-2012-1940

  Abhishek Arya opdagede et problem i forbindele med anvendelse efter frigivelse, når der blev arbejdet med kolonnelayout med absolut placering i en container, som ændrer størrelse, hvilket måske kunne føre til udførelse af vilkårlig kode.

• CVE-2012-1947

  Abhishek Arya opdagede et heap-bufferoverløb i tegnsætskonvertering fra utf16 til latin1, hvilket gjorde det muligt at udføre vilkårlig kode.

Bemærk: Vi anbefaler brugerne af Iceweasels 3.5-gren i Debian stable, at overveje at opgradere til Iceweasel 10.0 ESR (Extended Support Release), som nu er tilgængelig i Debian Backports. Selv om Debian fortsat vil understøtte Iceweasel 3.5 i stable med sikkerhedsopdateringer, kan det kun gøres efter bedste evne, da opstrøm ikke længere understøtter versionen. Desuden tilføjer 10.0-grenen proaktiv sikkerhedsfunktionalitet til browseren.

I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-16.

I den ustabile distribution (sid), er dette problem rettet i version 10.0.5esr-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.