Säkerhetsbulletin från Debian
DSA-3345-1 iceweasel -- säkerhetsuppdatering
- Rapporterat den:
- 2015-08-29
- Berörda paket:
- iceweasel
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-4497, CVE-2015-4498.
- Ytterligare information:
-
Flera säkerhetsproblem har upptäckts i Iceweasel, Debians version av webbläsaren Mozilla Firefox. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-4497
Jean-Max Reymond och Ucha Gobejishvili upptäckte en användning efter frigörningssårbarhet som uppstår när en storleksändring på ett canvas-element triggas i samband med stilförändringar. En webbsida med illasinnat innehåll kan orsaka Iceweasel att krascha, eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör Iceweasel.
- CVE-2015-4498
Bas Venis rapporterade en brist i hanteringen av tilläggsinstallation. En fjärrangripare kan dra fördel av denna brist för att förbigå tilläggsinstallationsprompten och lura användaren att installera ett tillägg från en illasinnad källa.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 38.2.1esr-1~deb7u1.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 38.2.1esr-1~deb8u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 38.2.1esr-1.
Vi rekommenderar att ni uppgraderar era iceweasel-paket.
- CVE-2015-4497