Информация по безопасности / 2012 / Информация о безопасности -- DSA-2457-2 iceweasel

Рекомендация Debian по безопасности

DSA-2457-2 iceweasel -- несколько уязвимостей

Дата сообщения:

13.05.2012

Затронутые пакеты:

iceweasel

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.

Более подробная информация:

В Iceweasel, веб-браузере на основе Firefox, было обнаружено несколько уязвимостей. Входящая в его состав библиотека XULRunner предоставляет возможности отрисовки для нескольких приложений, включённых в Debian.

• CVE-2012-0467

  Боб Клэри, Кристиан Холер, Брайан Хэкет, Бобби Холи, Гэри Квон, Хилари Хол, Хонза Бамбас, Джес Радерман, Джулиан Сьюард и Олли Петай обнаружили ошибки, связанные с повреждением содержимого памяти, которые могут приводить к выполнению произвольного кода.

• CVE-2012-0470

  Атте Кеттунен обнаружил, что ошибки, связанные с повреждением содержимого памяти в gfxImageSurface могут приводить к выполнению произвольного кода.

• CVE-2012-0471

  Анне ван Кестерен обнаружил, что неправильное кодирование многобайтовых символов может приводить к межсайтовому скриптингу.

• CVE-2012-0477

  Масато Кинугава обнаружил, что неправильное кодирование корейского и китайского наборов символов может приводить к межсайтовому скриптингу.

• CVE-2012-0479

  Йерун ван дер Гун обнаружил возможность подделки адресной строки в представлении лент Atom и RSS через HTTPS.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.5.16-15.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 10.0.4esr-1.

В экспериментальном выпуске эта проблема будет исправлена позже.

Рекомендуется обновить пакеты iceweasel.