Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3345-1 iceweasel

Bulletin d'alerte Debian

DSA-3345-1 iceweasel -- Mise à jour de sécurité

Date du rapport :

29 août 2015

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-4497, CVE-2015-4498.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Iceweasel, la version de Debian du navigateur web Mozilla Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-4497

  Jean-Max Reymond et Ucha Gobejishvili ont découvert une vulnérabilité d'utilisation de mémoire après libération qui se produit lorsque le redimensionnement d'un élément canvas est déclenché conjointement avec des modifications de style. Une page web renfermant un contenu malveillant peut faire planter Iceweasel, ou, éventuellement, exécuter du code arbitraire avec les droits de l'utilisateur exécutant Iceweasel.

• CVE-2015-4498

  Bas Venis a signalé un défaut dans le traitement de l'installation des greffons. Un attaquant distant peut profiter de ce défaut pour contourner l'invite d'installation des greffons et pousser un utilisateur à installer un greffon à partir d'une source malveillante.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 38.2.1esr-1~deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 38.2.1esr-1~deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 38.2.1esr-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.