Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2433-1 iceweasel

Säkerhetsbulletin från Debian

DSA-2433-1 iceweasel -- flera sårbarheter

Rapporterat den:

2012-03-15

Berörda paket:

iceweasel

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.

Ytterligare information:

Flera sårbarheter har upptäckts i Iceweasel, en webbläsare som är baserad på Firefox. Det inkluderade XULRunner-biblioteket tillhandahåller renderingstjänster för flera andra applikationer som inkluderas i Debian.

• CVE-2012-0455

  Soroush Dalili upptäckte att en sajtöverskridande skriptmotåtgärd relaterad till JavaScript-URLer kunde förbigås.

• CVE-2012-0456

  Atte Kettunen upptäckte en läsning utanför gränserna i SVG-filtren, resulterande i minnesavslöjande.

• CVE-2012-0458

  Mariusz Mlynski upptäckte att rättigheter kunde ökas genom att använda en JavaScriptURL som hemsida.

• CVE-2012-0461

  Bob Clary upptäckte minneskorruptionsfel som kan leda till körning av godtycklig kod.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-13.

För den instabila utgåvan (Sid) har detta problem rättats i version 10.0.3esr-1.

For the experimental distribution har detta problem rättats i version 11.0-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.