Säkerhetsbulletin från Debian
DSA-2313-1 iceweasel -- flera sårbarheter
- Rapporterat den:
- 2011-09-29
- Berörda paket:
- iceweasel
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Iceweasel, en webbläsare baserad på Firefox.:
- CVE-2011-2372
Mariusz Mlynski upptäckte att webbplatser kunde öppna en hämtningsdialog - som har
öppna
som standardalternativ -, medan en användare trycket på Enter-knappen. - CVE-2011-2995
Benjamin Smedberg, Bob Clary och Jesse Ruderman upptäckte krascher i renderingsmotorn som kunde leda till körning av godtycklig kod.
- CVE-2011-2998
Mark Kaplan upptäckte ett heltalsunderspill i JavaScript-motorn, som kunde leda till exekvering av godtycklig kod.
- CVE-2011-2999
Boris Zbarsky upptäckte att felaktig hantering av objektet window.location kunde leda till förbigång av same-origin-policyn.
- CVE-2011-3000
Ian Graham upptäckte att flera plats-rubriker kan leda till CRLF-injicering.
För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.9.0.19-14 av källkodspaketet xulrunner. Denna uppdatering markerar även de kompromissade DigiNotar-rootcertifikaten som återkallade istället för opålitliga.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-10. Denna uppdatering markerar även de kompromissade DigiNotar-rootcertifikaten som återkallade istället för opålitliga.
För den instabila utgåvan (Sid) har detta problem rättats i version 7.0-1.
Vi rekommenderar att ni uppgraderar era iceweasel-paket.
- CVE-2011-2372