Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2433-1 iceweasel

Bulletin d'alerte Debian

DSA-2433-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

15 mars 2012

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.

• CVE-2012-0455

  Soroush Dalili a découvert qu'une protection contre un script intersite lié aux URL JavaScript pourrait être contournée.

• CVE-2012-0456

  Atte Kettunen a découvert une lecture hors limites dans les filtres SVG, avec pour conséquence une divulgation de mémoire.

• CVE-2012-0458

  Mariusz Mlynski a découvert une possibilité d'augmentation de droits à l'aide d'une URL JavaScript en tant que page d'accueil.

• CVE-2012-0461

  Bob Clary a découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-13.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.3esr-1.

Pour la distribution experimental, ce problème a été corrigé dans la version 11.0-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.