Säkerhetsbulletin från Debian

DSA-2488-1 iceweasel -- flera sårbarheter

Rapporterat den:
2012-06-07
Berörda paket:
iceweasel
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.
Ytterligare information:

Flera sårbarheter har upptäckts i Iceweasel, en webbläsare som baseras på Firefox. Det inkluderade biblioteket XULRunner tillhandahåller renderingstjänster för flera andra applikationer som inkluderas i Debian.

  • CVE-2012-1937

    Mozillautvecklarna upptäckte flera minneskorruptionsfel som kan leda till exekvering av illasinnad kod.

  • CVE-2012-1940

    Abhishek Arya upptäckte ett användning-efter-frigörningsproblem vid arbete med kolumnlayoter med absolut positionering i en behållare som ändrar storlek, som kan leda till körning av godtycklig kod.

  • CVE-2012-1947

    Abhishek Arya upptäckte ett heapbufferspill i konvertering av teckenuppsättningar från utf16 till latin1, som tillåter körning av godtycklig kod.

Observera: Vi vill råda användare av Iceweasels 3.5-gren i stabila utgåvan av Debian att uppgradera till Iceweasel 10.0 ESR (Extended Support Release) som nu finns tillgänglig i Debian Backports. Även om Debian kommer att fortsätta att stödja Iceweasel 3.5 i stabila utgåvan med säkerhetsuppdateringar kan detta endast göras efter bästa förmåga eftersom uppström inte tillhandahåller något stöd längre. Utöver detta så lägger 10.0-grenen till proaktiva säkerhetsfunktioner till webbläsaren.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-16.

För den instabila utgåvan (Sid) har detta problem rättats i version 10.0.5esr-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.