Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3201-1 iceweasel

Säkerhetsbulletin från Debian

DSA-3201-1 iceweasel -- säkerhetsuppdatering

Rapporterat den:

2015-03-22

Berörda paket:

iceweasel

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-0817, CVE-2015-0818.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Iceweasel, Debians version av webbläsaren Mozilla Firefox. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-0817

  ilxu1a rapporterade en brist i Mozillas implementation av gränskontroller på typade matriser i JavaScript just-in-time-kompilering (JIT) och dess hantering av gränskontroll för heapåtkomst. Denna brist kan utökas till läsning och skrivning av minne vilket tillåter körning av godtycklig kod på det lokala systemet.

• CVE-2015-0818

  Mariusz Mlynski upptäckte en metod att köra godtyckliga skript i en priviligierad kontext. Detta förbigår same-origin policy-skydd genom att använda en brist i behandlingen av innehållsnavigering i SVG-formatet.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 31.5.3esr-1~deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 31.5.3esr-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.