Bulletin d'alerte Debian

DSA-2488-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :
7 juin 2012
Paquets concernés :
iceweasel
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.

  • CVE-2012-1937

    Les développeurs de Mozilla ont découvert plusieurs bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

  • CVE-2012-1940

    Abhishek Arya a découvert un problème d'utilisation de mémoire après libération en travaillant avec le rendu des colonnes en positionnement absolu dans un conteneur qui modifie sa taille. Cela peut permettre l'exécution de code arbitraire.

  • CVE-2012-1947

    Abhishek Arya a découvert un dépassement de tampon de tas dans la conversion de jeu de caractères d'utf16 en latin1, permettant d'exécuter du code arbitraire.

Remarque : nous aimerions conseiller aux utilisateurs de la branche 3.5 d'Iceweasel dans Debian stable de songer à mettre jour vers la version Iceweasel 10.0 ESR (publication avec suivi étendu) maintenant disponible dans les rétroportages de Debian. Bien que Debian continuera à assurer le suivi d'Iceweasel 3.5 dans stable avec des mises à jour de sécurité, ce ne peut être fait que dans la mesure du possible car aucun suivi de ce type n'est fourni en amont. De plus, la branche 10.0 ajoute des fonctionnalités de sécurité proactive au navigateur.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-16.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.5esr-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.