Debians sikkerhedsbulletin
DSA-2186-1 iceweasel -- flere sårbarheder
- Rapporteret den:
- 9. mar 2011
- Berørte pakker:
- iceweasel
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0059.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget Iceweasel, en webbrowser baseret på Firefox. Det medfølgende bibliotek XULRunner leverer renderingfunktioner til flere andre applikationer, som er indeholdt i Debian.
- CVE-2010-1585
Roberto Suggi Liverani opdagede at fornuftighedskontrollen som udføres af ParanoidFragmentSink var ufuldstændig.
- CVE-2011-0051
Zach Hoffmann opdagede at ukorrekt fortolkning af rekursive eval()-kald kunne medføre at angribere kunne gennemtvinge accept af en bekræftelsesdialog.
- CVE-2011-0053
Nedbrud i layoutmaskinen kunne måske føre til udførelse af vilkårlig kode.
- CVE-2011-0054,
CVE-2010-0056
Christian Holler opdagede bufferoverløb i JavaScript-maskinen, hvilke kunne gøre det muligt at udføre vilkårlig kode.
- CVE-2011-0055
regenrecht
og Igor Bukanov opdagede anvendelse efter frigivelse-fejl i JSON-Implementation, som kunne føre til udførelse af vilkårlig kode. - CVE-2011-0057
Daniel Kozlowski opdagede at ukorrekt hukommelseshåndtering i implementeringen af webworkers kunne føre til udførelse af vilkårlig kode.
- CVE-2011-0059
Peleus Uhley opdagede en risiko for forespørgelsesforfalskning på tværs af websteder i pluginkoden.
I den gamle stabile distribution (lenny), er dette problem rettet i version 1.9.0.19-8 of the xulrunner source package.
I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-5.
I den ustabile distribution (sid), er dette problem rettet i version 3.5.17-1.
Vi anbefaler at du opgraderer dine iceweasel-pakker.
- CVE-2010-1585