Debians sikkerhedsbulletin

DSA-2488-1 iceweasel -- flere sårbarheder

Rapporteret den:
7. jun 2012
Berørte pakker:
iceweasel
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Iceweasel, en webbrowser baseret på Firefox. Det medfølgende XULRunner-bibliotek leverer renderingtjenester til flere andre applikationer i Debian.

  • CVE-2012-1937

    Mozilla-udviklere opdagede flere hukommelseskorruptionsfejl, hvilke kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-1940

    Abhishek Arya opdagede et problem i forbindele med anvendelse efter frigivelse, når der blev arbejdet med kolonnelayout med absolut placering i en container, som ændrer størrelse, hvilket måske kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-1947

    Abhishek Arya opdagede et heap-bufferoverløb i tegnsætskonvertering fra utf16 til latin1, hvilket gjorde det muligt at udføre vilkårlig kode.

Bemærk: Vi anbefaler brugerne af Iceweasels 3.5-gren i Debian stable, at overveje at opgradere til Iceweasel 10.0 ESR (Extended Support Release), som nu er tilgængelig i Debian Backports. Selv om Debian fortsat vil understøtte Iceweasel 3.5 i stable med sikkerhedsopdateringer, kan det kun gøres efter bedste evne, da opstrøm ikke længere understøtter versionen. Desuden tilføjer 10.0-grenen proaktiv sikkerhedsfunktionalitet til browseren.

I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-16.

I den ustabile distribution (sid), er dette problem rettet i version 10.0.5esr-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.