Рекомендация Debian по безопасности

DSA-2583-1 iceweasel -- несколько уязвимостей

Дата сообщения:
08.12.2012
Затронутые пакеты:
iceweasel
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-4201, CVE-2012-4207, CVE-2012-4216, CVE-2012-5829, CVE-2012-5842.
Более подробная информация:

В Iceweasel, версии веб-браузера Mozilla Firefox для Debian, были обнаружены несколько уязвимостей:

  • CVE-2012-5829

    Переполнение динамической памяти в функции nsWindow::OnExposeEvent может позволить удалённым злоумышленникам выполнить произвольный код.

  • CVE-2012-5842

    Многочисленные уязвимости в движке браузера могут позволить удалённым злоумышленникам вызвать отказ в обслуживании (повреждение содержимого памяти и аварийное завершение приложения), либо выполнить произвольный код.

  • CVE-2012-4207

    Реализация набора символов HZ-GB-2312 неправильно обрабатывает символ ~ (тильда), находящихся в непосредственной близости от разделителя, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) с помощью специально сформированного документа.

  • CVE-2012-4201

    Реализация evalInSandbox использует некорректный контекст во время обработки кода на языке JavaScript, которые устанавливает свойство location.href, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) или считывать произвольные файлы, выходя за границы дополнения.

  • CVE-2012-4216

    Использование указателей после освобождения памяти в функции gfxFont::GetFontEntry позволяет удалённым злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение содержимого динамической памяти) при помощи неуказанных векторов.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.5.16-20.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 10.0.11esr-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 10.0.11esr-1.

Рекомендуется обновить пакеты iceweasel.