Bulletin d'alerte Debian

DSA-2433-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :
15 mars 2012
Paquets concernés :
iceweasel
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.

  • CVE-2012-0455

    Soroush Dalili a découvert qu'une protection contre un script intersite lié aux URL JavaScript pourrait être contournée.

  • CVE-2012-0456

    Atte Kettunen a découvert une lecture hors limites dans les filtres SVG, avec pour conséquence une divulgation de mémoire.

  • CVE-2012-0458

    Mariusz Mlynski a découvert une possibilité d'augmentation de droits à l'aide d'une URL JavaScript en tant que page d'accueil.

  • CVE-2012-0461

    Bob Clary a découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-13.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.3esr-1.

Pour la distribution experimental, ce problème a été corrigé dans la version 11.0-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.