Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2457-2 iceweasel

Säkerhetsbulletin från Debian

DSA-2457-2 iceweasel -- flera sårbarheter

Rapporterat den:

2012-05-13

Berörda paket:

iceweasel

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.

Ytterligare information:

Flera sårbarheter har upptäckts i Iceweasel, en webbläsare som baseras på Firefox. Det inkluderade XULRunner-biblioeteket tillhandahåller renderingstjänster för flera andra applikationer som inkluderas i Debian.

• CVE-2012-0467

  Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward, och Olli Pettay upptäckte minneskorruptionsfel, som kan leda till körning av godtycklig kod.

• CVE-2012-0470

  Atte Kettunen upptäckte att ett minneskorruptionsfel i gfxImageSurface kan leda till körning av illasinnad kod.

• CVE-2012-0471

  Anne van Kesteren upptäckte att felaktig multibyteteckenkodning kan keda till domänöverskridande skriptning.

• CVE-2012-0477

  Masato Kinugawa upptäckte att felaktig kodning av Koreanska och Kinesiska tecken kan leda till domänöverskridande skriptangrepp.

• CVE-2012-0479

  Jeroen van der Guin upptäckte en förfalskningssårbarhet i presentationen av Atom och Rss-flöden över HTTPS.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-15.

För den instabila utgåvan (Sid) har detta problem rättats i version 10.0.4esr-1.

För den experimentella utgåvan kommer detta problem att rättas inom kort..

Vi rekommenderar att ni uppgraderar era iceweasel-paket.