Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3345-1 iceweasel

Säkerhetsbulletin från Debian

DSA-3345-1 iceweasel -- säkerhetsuppdatering

Rapporterat den:

2015-08-29

Berörda paket:

iceweasel

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-4497, CVE-2015-4498.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Iceweasel, Debians version av webbläsaren Mozilla Firefox. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-4497

  Jean-Max Reymond och Ucha Gobejishvili upptäckte en användning efter frigörningssårbarhet som uppstår när en storleksändring på ett canvas-element triggas i samband med stilförändringar. En webbsida med illasinnat innehåll kan orsaka Iceweasel att krascha, eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör Iceweasel.

• CVE-2015-4498

  Bas Venis rapporterade en brist i hanteringen av tilläggsinstallation. En fjärrangripare kan dra fördel av denna brist för att förbigå tilläggsinstallationsprompten och lura användaren att installera ett tillägg från en illasinnad källa.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 38.2.1esr-1~deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 38.2.1esr-1~deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 38.2.1esr-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.