DFN-CERT-2012-0193 Mehrere Schwachstellen in Iceape und Iceweasel [Linux][Debian]

DFN-CERT-2012-0193 Mehrere Schwachstellen in Iceape und Iceweasel [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket iceape in Debian GNU/Linux 6.0 (squeeze) vor Version 2.0.11-10
Paket iceape in Debian GNU/Linux unstable (sid) vor Version 2.0.14-10

Paket iceweasel in Debian GNU/Linux 5.0 (lenny) vor Version 1.9.0.19-13
Paket iceweasel in Debian GNU/Linux 6.0 (squeeze) vor Version 3.5.16-12
Paket iceweasel in Debian GNU/Linux unstable (sid) vor Version 10.0-1

Betroffene Plattformen:

Debian GNU/Linux 5.0 (lenny, nur iceweasel)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen in Iceape und Iceweasel erlauben einem entfernten
Angreifer schlimmstenfalls beliebigen Code zur AusfÃŒhrung zu bringen.

Iceweasel basiert auf Mozilla Firefox, Iceape basiert auf SeaMonkey.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-0444: Schwachstellen in der Mozilla Browser Engine

Die Mozilla Browser Engine enthÀlt eine Schwachstelle in der Verarbeitung
von Ogg Vorbis Dateien. Dies ermöglicht einem entfernten Angreifer mittels
einer Webseite, mit einer prÀpariertem Ogg Vorbis Datei, die Anwendung zum
Absturz zu bringen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur AusfÃŒhrung zu bringen.

CVE-2012-0442: Schwachstelle in der Mozilla Browser Engine

Mozilla Firefox, Thunderbird und SeaMonkey enthalten mehrere nicht nÀhre
spezifizierte Schwachstellen in der Verarbeitung von Webinhalten die nicht
standard-konform sind. Diese ermöglichen einem entfernten Angreifer die
Anwendung zum Absturz zu bringen oder schlimmstenfalls beliebigen Code mit
den Rechten der Anwendung zur AusfÃŒhrung zu bringen.

CVE-2012-0449: Schwachstellen in der Mozilla Browser Engine

Mozilla Firefox und Thunderbird enthalten eine Schwachstelle in der
Verarbeitung von SVG-Bilddateien (Scalable Vector Graphics), welche
“eXtensible Style Sheet Language Transformations” (XSLT) enthalten. Dies
ermöglicht einem entfernten Angreifer mittels einer Webseite mit einer
prÀpariertem SVG-Bilddatei die Anwendung zum Absturz zu bringen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
AusfÃŒhrung zu bringen.

CVE-2011-3670: Schwachstelle in der Mozilla Browser Engine

Die “Same-Origin-Policy” in Mozilla Firefox, Thunderbird und SeaMonkey
unterscheidet nicht zwischen der nach RFC 3513 ungÃŒltigen IPv6 Darstellung
fÃŒr Hostnamen (http://IPv6-Hostname) und der gÃŒltigen Darstellung
(http://[IPv6-Hostname]). Dies ermöglicht einem entfernten Angreifer mittels
eines Skriptes Zugriff auf sensitive Information wie interne Hostnamen,
Client-IP-Adressen, E-Mail-Adressen oder httpOnly-Cookies zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0193/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2402
http://www.debian.org/security/2012/dsa-2400

Schwachstelle CVE-2011-3670:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3670

Schwachstelle CVE-2012-0442:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0442

Schwachstelle CVE-2012-0444:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0444

Schwachstelle CVE-2012-0449:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0449

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben