DFN-CERT-2012-1392 Mehrere Schwachstellen in Iceape [Linux][Debian]

DFN-CERT-2012-1392 Mehrere Schwachstellen in Iceape [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket iceape in Debian GNU/Linux 6.0 (squeeze) vor Version 2.0.11-14

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)

Mehrere Schwachstellen in Iceape ermöglichen einem entfernten Angreifer
beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-1967: Schwachstelle in der Mozilla Browser Engine

In der Mozilla Browser Engine ist es ‘javascript:URLs’ in gewissen Fällen
möglich aus der Sandbox auszubrechen. Dies erlaubt einem entfernten
Angreifer beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu
bringen.

CVE-2012-1954: Use-After-Free Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Funktion nsDocument::AdoptNode()
eine Use-After-Free Schwachstelle. Einem entfernten Angreifer ermöglicht
dies durch das Bereitstellen von präpariertem Inhalt die Anwendung zum
Absturz zu bringen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur Ausführung zu bringen. Dies setzt voraus, dass der Anwender
die präparierten Inhalte mit der Anwendung öffnet.

CVE-2012-1948: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält einen Fehler in der
Speicherverwaltung,Mehrere Schwachstellen in Mozilla Thunderbird welcher zu
einer Korruption des Speichers führen kann. Einem entfernten Angreifer
ermöglicht dies durch das Bereitstellen von präpariertem Inhalt die
Anwendung zum Absturz zu bringen oder schlimmstenfalls beliebigen Code mit
den Rechten der Anwendung zur Ausführung zu bringen. Dies setzt voraus, dass
der Anwender die präparierten Inhalte mit der Anwendung öffnet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1392/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2513

Schwachstelle CVE-2012-1948:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1948

Schwachstelle CVE-2012-1954:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1954

Schwachstelle CVE-2012-1967:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1967

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben