DFN-CERT-2012-0491 Mehrere Schwachstellen in Iceweasel [Linux][Debian]

DFN-CERT-2012-0491 Mehrere Schwachstellen in Iceweasel [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket iceweasel in Debian GNU/Linux 6.0 (squeeze) vor Version 3.5.16-13
Paket iceweasel in Debian GNU/Linux unstable (sid) vor Version 10.0.3esr-1
Paket iceweasel in Debian GNU/Linux experimental vor Version 11.0-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)
Debian GNU/Linux experimental

Mehrere Schwachstellen in Iceweasel ermöglichen einem entfernten Angreifer
schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-0456: Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle bei der Verarbeitung
von Scalable Vector Graphics (SVG) Dateien. Dies ermöglicht einem entfernten
Angreifer durch das Bereitstellen einer präparierten SVG-Datei ein Lesen
außerhalb der Puffergrenzen im SVG Filter zu provozieren und somit
unberechtigten Zugriff auf Speicherinhalte zu erlangen.

CVE-2012-0461: Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle beim Verarbeiten von
Inhalten. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen
von präparierten Inhalten die Anwendung zum Absturz zu bringen
(Denial-of-Service) oder schlimmstenfalls beliebige Befehle mit den Rechten
der Anwendung zur Ausführung zu bringen.

CVE-2012-0455: Schwachstelle in Mozilla Browser Engine

Eine Schwachstelle in der Mozilla Browser Engine erlaubt das Umgehen von
Sicherheitsbeschränkungen gegen Cross-site Scripting Angriffe. Dies
ermöglicht einem entfernten Angreifer Cross-site Scripting Angriffe
durchzuführen, falls es ihm gelingt den Benutzer dazu zu bringen, einen
Java-Script-Link mit der Maus in ein bestimmtes Frame der Webseite zu
ziehen.

CVE-2012-0458: Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine erlaubt einem Benutzer einen Java-Script-Link als
Homepage zu setzen. Dies ermöglicht einem entfernten Angreifer durch ein
präpariertes Java-Script die Anwendung direkt nach dem Starten zum Absturz
zu bringen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0491/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2433

Schwachstelle CVE-2012-0455:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0455

Schwachstelle CVE-2012-0456:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0456

Schwachstelle CVE-2012-0458:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0458

Schwachstelle CVE-2012-0461:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0461

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben