Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Debian Iceweasel < 24.8.0esr-1 Betroffene Plattformen: Debian Linux 7.6 Wheezy Durch zwei Schwachstellen in Iceweasel kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode ausführen. Patch: Debian Security Advisory DSA-3018-1 https://www.debian.org/security/2014/dsa-3018

CVE-2014-1562: Schwachstelle ermöglicht die Ausführung von beliebigen
Programmcode mit den Rechten des Benutzers

Es besteht eine Schwachstelle hinsichtlich der Speichersicherheit in der,
von verschiedenen Mozilla-Produkten genutzten, Browser Engine. Ein
entfernter, nicht authentisierter Angreifer kann, unter Verwendung einer
speziell präparierten Webseite, die Schwachstelle dazu ausnutzen, um einen
Speicherfehler hervorzurufen und in der Folge beliebigen Programmcode mit
den Rechten des Nutzers auszuführen.

CVE-2014-1567: Schwachstelle in Firefox und Thunderbird ermöglicht das
Ausführen beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle beim Text-Layout in Mozilla
Firefox und Thunderbird bei der Interaktion mit der Einstellung der
Textrichtung. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1146/

Debian Security Advisory DSA-3018-1:
https://www.debian.org/security/2014/dsa-3018

Schwachstelle CVE-2014-1562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1562

Schwachstelle CVE-2014-1567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1567

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.