Debian-Sicherheitsankündigung
DSA-1489-1 iceweasel -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 10. Feb 2008
- Betroffene Pakete:
- iceweasel
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-0412, CVE-2008-0413, CVE-2008-0414, CVE-2008-0415, CVE-2008-0416, CVE-2008-0417, CVE-2008-0418, CVE-2008-0419, CVE-2008-0591, CVE-2008-0592, CVE-2008-0593, CVE-2008-0594.
- Weitere Informationen:
-
Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Iceweasel-Webbrowser entdeckt, einer wegen Markenproblemen umbenannten Version des Firefox-Browsers. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2008-0412
Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren und Paul Nickerson entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.
- CVE-2008-0413
Carsten Book, Wesley Garland, Igor Bukanov,
moz_bug_r_a4
,shutdown
, Philip Taylor undtgirmann
entdeckten Abstürze in der JavaScript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte. - CVE-2008-0414
hong
und Gregory Fleischer entdeckten, dass Dateieingabefokus-Verwundbarkeiten im Datei-Upload-Widget eine Informationsenthüllung lokaler Dateien ermöglichen könnten. - CVE-2008-0415
moz_bug_r_a4
und Boris Zbarsky entdeckten mehrere Verwundbarkeiten im Umgang mit JavaScript, die eine Privilegienerweiterung ermöglichen könnten. - CVE-2008-0417
Justin Dolske entdeckte, dass der Passwortspeichermechanismus von bösartigen Websites missbraucht werden kann, um existierende gespeicherte Passwörter zu beschädigen.
- CVE-2008-0418
Gerry Eisenhaur und
moz_bug_r_a4
entdeckten, dass eine Verzeichnisüberschreitungsverwundbarkeit im Umgang mit chrome:-URIs zu Informationsenthüllungen führen könnte. - CVE-2008-0419
David Bloom entdeckte eine Race-Condition im Umgang mit Bildern von designMode-Elementen, was zu einer Informationsenthüllung und möglicherweise der Ausführung beliebigen Codes führen könnte.
- CVE-2008-0591
Michal Zalewski entdeckte, dass Timer, die sicherheitsrelevante Dialoge sichern (durch Deaktivieren von Dialog-Elementen, bis ein Timeout erreicht ist), durch Fensterfokus-Wechsel mittels JavaScript umgangen werden können.
- CVE-2008-0592
Es wurde entdeckt, dass missgestaltete Inhaltserklärungen gespeicherter Anhänge einen Benutzer daran hindern könnten, lokale Dateien mit einem
.txt
-Dateinamen zu öffnen, was zu einer minimalen Diensteverweigerung (denial of service
) führt. - CVE-2008-0593
Martin Straka entdeckte, dass ein unsicherer Umgang mit Stylesheets während Umleitungen zu einer Informationsenthüllung führen könnte.
- CVE-2008-0594
Emil Ljungdahl und Lars-Olof Moilanen entdeckten, dass ein Phishing-Schutz mit <div>-Elementen umgangen werden kann.
Die Mozilla-Produkte aus der alten Stable-Distribution (Sarge) werden nicht mehr mit Sicherheitsaktualisierungen unterstützt.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.0.0.12-0etch1 behoben.
Wir empfehlen Ihnen, Ihre iceweasel-Pakete zu aktualisieren.
- CVE-2008-0412
- Behoben in:
-
Debian GNU/Linux 4.0 (stable)
- Quellcode:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.