Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3201-1 iceweasel

Bulletin d'alerte Debian

DSA-3201-1 iceweasel -- Mise à jour de sécurité

Date du rapport :

22 mars 2015

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-0817, CVE-2015-0818.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Iceweasel, la version de Debian du navigateur web Mozilla Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-0817

  ilxu1a a signalé un défaut dans l'implémentation de Mozilla de la vérification de limites de tableau typisé dans la compilation à la volée de JavaScript (JIT) et sa gestion de la vérification de limites pour les accès au tas heap. Ce défaut peut être exploité pour lecture et écriture de la mémoire, permettant l'exécution de code arbitraire sur le système local.

• CVE-2015-0818

  Mariusz Mlynski a découvert une méthode pour exécuter des scripts arbitraires dans un contexte privilégié. Cela contournait les protections de la politique de même origine en utilisant un défaut dans le traitement de la navigation dans des contenus de format SVG.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 31.5.3esr-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 31.5.3esr-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.