Debians sikkerhedsbulletin
DSA-3345-1 iceweasel -- sikkerhedsopdatering
- Rapporteret den:
- 29. aug 2015
- Berørte pakker:
- iceweasel
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-4497, CVE-2015-4498.
- Yderligere oplysninger:
-
Flere sikkerhedsproblemer er rettet i Iceweasel, Debians udgave af webbrowseren Mozilla Firefox. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-4497
Jean-Max Reymond og Ucha Gobejishvili opdagede en sårbarhed i forbindelse med anvendelse efter frigivelse, hvilken opstod når størrelsen på et canvaselement blev udløst i sammenhæng med stilændringer. En webside indeholdende ondsindet indhold kunne få Iceweasel til at gå ned eller potentielt udføre vilkårlig kode med rettighederne hørende til brugeren, der anvender Iceweasel.
- CVE-2015-4498
Bas Venis rapporterede om en fejl i håndteringen af installering af add-ons. En fjernangriber kunne drage nytte af fejlen til at omgå add-on-installeringsprompten, og narre brugeren til at installere en add-on fra en ondsindet kilde.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 38.2.1esr-1~deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 38.2.1esr-1~deb8u1.
I den ustabile distribution (sid), er disse problemer rettet i version 38.2.1esr-1.
Vi anbefaler at du opgraderer dine iceweasel-pakker.
- CVE-2015-4497