Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2514-1 iceweasel

Säkerhetsbulletin från Debian

DSA-2514-1 iceweasel -- flera sårbarheter

Rapporterat den:

2012-07-17

Berörda paket:

iceweasel

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1966, CVE-2012-1967.

Ytterligare information:

Flera sårbarheter har upptäckts i Iceweasel, en webbläsare som är baserad på Firefox. Det inkluderade biblioteket XULRunner tillhandahåller renderingstjänster för flera andra applikationer som inkluderas i Debian.

• CVE-2012-1948

  Benoit Jacob, Jesse Ruderman, Christian Holler, och Bill McCloskey upptäckte flera minnessäkerhetsproblem som kan leda till körning av illasinnad kod.

• CVE-2012-1950

  Mario Gomes och Code Audit Labs upptäckts att det är möjligt att tvinga Iceweasel att visa URLen för föregående visad sajt genom dra-och-släpphandlingar till adressfältet. Detta kan missbrukas för att utföra phishingangrepp.

• CVE-2012-1954

  Abhishek Arya upptäckte ett användning-efter-frigörningsproblem i nsDocument::AdoptNode som kan leda till körning av illasinnad kod.

• CVE-2012-1966

  moz_bug_r_a4 upptäckte att det är möjligt att utföra domänöverskridande skriptangrepp genom innehållsmenyn vid användning av data: URLer.

• CVE-2012-1967

  moz_bug_r_a4 upptäckte att i vissa fall, kan javascript: URLer köras så att skript kan fly från JavaScript-sandlådan och köras med utökade rättigheter.

Notera: Vi vill rekommendera att användare av Iceweasel's 3.5-gren i Debians stabila utgåva att uppgradera till Iceweasel 10.0 ESR (Extended Support Release) som nu finns tillgänglig i Debian Backports. Även om Debian kommer att fortsätta stödja Iceweasel 3.5 i den stabila utgåvan med säkerhetsuppdateringar, kan detta endast göras efter bästa förmåga eftersom uppström inte tillhandahåller sådan supprt längre. Utöver detta så tillhandahåller 10.0-grenen proaktiva säkerhetsfunktioner till webbläsaren.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.5.16-17.

För den instabila utgåvan (Sid) har detta problem rättats i version 10.0.6esr-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.