Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2488-1 iceweasel

Bulletin d'alerte Debian

DSA-2488-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

7 juin 2012

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.

• CVE-2012-1937

  Les développeurs de Mozilla ont découvert plusieurs bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

• CVE-2012-1940

  Abhishek Arya a découvert un problème d'utilisation de mémoire après libération en travaillant avec le rendu des colonnes en positionnement absolu dans un conteneur qui modifie sa taille. Cela peut permettre l'exécution de code arbitraire.

• CVE-2012-1947

  Abhishek Arya a découvert un dépassement de tampon de tas dans la conversion de jeu de caractères d'utf16 en latin1, permettant d'exécuter du code arbitraire.

Remarque : nous aimerions conseiller aux utilisateurs de la branche 3.5 d'Iceweasel dans Debian stable de songer à mettre à jour vers la version Iceweasel 10.0 ESR (publication avec suivi étendu) maintenant disponible dans les rétroportages de Debian. Bien que Debian continuera à assurer le suivi d'Iceweasel 3.5 dans stable avec des mises à jour de sécurité, ce ne peut être fait que dans la mesure du possible car aucun suivi de ce type n'est fourni en amont. De plus, la branche 10.0 ajoute des fonctionnalités de sécurité proactive au navigateur.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-16.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.5esr-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.