Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2514-1 iceweasel

Debians sikkerhedsbulletin

DSA-2514-1 iceweasel -- flere sårbarheder

Rapporteret den:

17. jul 2012

Berørte pakker:

iceweasel

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1966, CVE-2012-1967.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Iceweasel, en webbrowser baseret på Firefox. Det medfølgende XULRunner-bibliotek leverer renderingtjenester til flere andre applikationer i Debian.

• CVE-2012-1948

  Benoit Jacob, Jesse Ruderman, Christian Holler og Bill McCloskey fandt flere problemer i forbindelse med hukommelsessikkerhed, som kunne føre til udførelse af virkårlig kode.

• CVE-2012-1950

  Mario Gomes og Code Audit Labs opdagede, at det var muligt at tvinge Iceweasel til at vise URL'en hørende til et websted, man tidligere har været inde på, ved hjælp af træk- og sliphandlinger i adresselinjen. Det kunne udnyttes til at iværksætte phiskingangreb.

• CVE-2012-1954

  Abhishek Arya opdagede et problem i forbindelse med anvendelse efter frigivelse i nsDocument::AdoptNode, der kunne føre til udførelse af vilkårlig kode.

• CVE-2012-1966

  moz_bug_r_a4 opdagede, at det var muligt at iværksætte angreb på tværs af websteder gennem kontekstmenuen, når der bleev anvendt data:-URL'er.

• CVE-2012-1967

  moz_bug_r_a4 opdagede, at under nogle omstændigheder, kunne javascript::-URL'er udføres, således at skripter kunne slippe ud af JavaScript-sandkassen og køre med forøgede rettigheder. Det kunne føre til udførelse af vilkårlig kode.

Bemærk: Vi anbefaler brugerne af Iceweasels 3.5-gren i Debian stable, at overveje at opgradere til Iceweasel 10.0 ESR (Extended Support Release), som nu er tilgængelig i Debian Backports. Selv om Debian fortsat vil understøtte Iceweasel 3.5 i stable med sikkerhedsopdateringer, kan det kun gøres efter bedste evne, da opstrøm ikke længere understøtter versionen. Desuden tilføjer 10.0-grenen proaktiv sikkerhedsfunktionalitet til browseren.

I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-17.

I den ustabile distribution (sid), er dette problem rettet i version 10.0.6esr-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.