Bulletin d'alerte Debian
DSA-2457-2 iceweasel -- Plusieurs vulnérabilités
- Date du rapport :
- 13 mai 2012
- Paquets concernés :
- iceweasel
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.
- CVE-2012-0467
Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward et Olli Pettay ont découvert des bogues de corruption de mémoire qui pourraient conduire à l'exécution de code arbitraire.
- CVE-2012-0470
Atte Kettunen a découvert qu'un bogue de corruption de mémoire dans gfxImageSurface pourrait conduire à l'exécution de code arbitraire.
- CVE-2012-0471
Anne van Kesteren a découvert qu'un encodage incorrect de caractère multioctet pourrait conduire à un script intersite.
- CVE-2012-0477
Masato Kinugawa a découvert que l'encodage de caractères coréens et chinois pourrait conduire à un script intersite.
- CVE-2012-0479
Jeroen van der Gun a découvert une vulnérabilité d'usurpation dans la présentation des flux Atom et RSS par HTTPS.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-15.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.4esr-1.
Pour la distribution experimental, ce problème sera bientôt corrigé.
Nous vous recommandons de mettre à jour vos paquets iceweasel.
- CVE-2012-0467