Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3345-1 iceweasel

Cố vấn bảo mật Debian

DSA-3345-1 iceweasel -- cập nhật bảo mật

Ngày báo cáo:

29 Th8 2015

Gói chịu tác động:

iceweasel

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-4497, CVE-2015-4498.

Thêm thông tin:

Tìm thấy nhiều lỗ hổng bảo mật trong Iceweasel, trình duyệt web Mozilla Firefox phiên bản của Debian. Dự án Common Vulnerabilities and Exposures đã định danh các vấn đề sau:

• CVE-2015-4497

  Jean-Max Reymond và Ucha Gobejishvili đã khám phá ra nhiều hỗ hổng dùng-sau-khi-giải-phóng cái mà nảy sinh khi đổi cỡ của phần tử vẽ (canvas) bị sập bẫy trong hòa hợp với các thay đổi kiểu dáng. Một trang thông tin điện tử có chứa nội dung hiểm độc có thể làm cho Iceweasel đổ vỡ, hay tiềm tàng, thực thi mã tùy ý với đặc quyền của người đang chạy Iceweasel.

• CVE-2015-4498

  Bas Venis báo cáo một khiếm khuyết trong xử lý cài đặt phần bổ xung. Một kẻ tấn công trên mạng có thể dùng lợi thế này của khiếm khuyết để vòng qua nhắc nhở cài đặt phần bổ xung và lừa người dùng cài đặt một phần bổ xung từ nguồn hiểm độc.

Với bản phân phối ổn định cũ (wheezy), những lỗi này đã được sửa trong phiên bản 38.2.1esr-1~deb7u1.

Với bản phân phối ổn định (jessie), những lỗi này đã được sửa trong phiên bản 38.2.1esr-1~deb8u1.

Với bản phân phối chưa ổn định (sid), những lỗi này đã được sửa trong phiên bản 38.2.1esr-1.

Chúng tôi khuyên bạn nên nâng cấp các gói iceweasel của mình.