Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket MozillaFirefox
Betroffene Plattformen:
SUSE Linux Enterprise Server 11 SP1 für VMware
SUSE Linux Enterprise Server 11 SP1 FOR SP2
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Desktop 11 SP1 FOR SP2
SUSE Linux Enterprise Desktop 11 SP1
Eine Schwachstelle in der Bibliothek Libpng, die von Firefox verwendet wird,
erlaubt einem entfernten Angreifer das Ausführen von beliebigen Befehlen mit
den Rechten des Anwenders.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://download.opensuse.org/update/
CVE-2011-3026: Schwachstelle in Libpng
In der Datei pngrutil.c in der Funktion png_decompress_chunk() existiert ein
heap-basierter Buffer Overflow. Einem entfernten Angreifer ist es damit
möglich, schlimmstenfalls beliebigen Code zur Ausführung zu bringen, falls
er einen Nutzer davon überzeugt eine präparierte PNG-Datei zu öffnen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0367/
Das Hersteller Advisory:
http://www.novell.com/linux/security/securitysupport.html
Schwachstelle CVE-2011-3026:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3026
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
