DFN-CERT-2012-1087 Mehrere Schwachstellen in Iceweasel [Linux][Debian]

DFN-CERT-2012-1087 Mehrere Schwachstellen in Iceweasel [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket iceweasel in Debian GNU/Linux 6.0 (squeeze) vor Version 3.5.16-16
Paket iceweasel in Debian GNU/Linux unstable (sid) vor Version 10.0.5esr-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen in Iceweasel ermöglichen einem entfernten Angreifer
das Ausführen beliebigen Codes mit den Rechten der Anwendung.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-1937: Mehrere Schwachstelle in der Mozilla Browser Engine

In der Mozilla Browser Engine, welche in Mozilla Firefox in den Versionen
4.x bis einschließlich 12.0, Firefox ESR der Versionen 10.x vor 10.0.5,
Thunderbird der Versionen 5.0 bis einschließlich 12.0, Thunderbird ESR der
Versionen 10.x vor 10.0.5 und SeaMonkey vor Version 2.10 verwendet wird,
kann eine Korruption des Speichers hervorgerufen werden. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen einer präparierten
Webseite einen Denial-of-Service-Zustand herbeizuführen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen. Voraussetzung dafür ist, dass der Anwender die
Webseite aufruft.

CVE-2012-1947: Buffer Overflow Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine, welche in Mozilla Firefox der Versionen 4.x bis
einschließlich 12.0, Mozilla Firefox ESR der Versionen 10.x vor 10.0.5,
Mozilla Thunderbird der Versionen 5.0 bis einschließlich 12.0, Mozilla
Thunderbird ESR der Versionen 10.x vor 10.0.5 und SeaMonkey vor Version 2.10
verwendet wird, enthält in der Funktion utf16_to_isolatin1() einen Buffer
Overflow auf dem Heap. Dies ermöglicht einem entfernten Angreifer durch das
Hervorrufen eines Fehlers bei der Konversion von Zeichensätzen beliebigen
Code mit den Rechten der Anwendung zur Ausführung zu bringen.

CVE-2012-1940: Use-After-Free Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine, die in Mozilla Firefox der Versionen 4.x bis
einschließlich 12.0, Mozilla Firefox ESR der Versionen 10.x vor 10.0.5,
Mozilla Thunderbird der Versionen 5.0 bis einschließlich 12.0, Mozilla
Thunderbird ESR der Versionen 10.x vor 10.0.5 und SeaMonkey vor Version 2.10
verwendet wird, enthält eine Use-After-Free Schwachstelle in der Funktion
nsFrameList::FirstChild(). Einem entfernten Angreifer ermöglicht dies durch
das Ändern der Größe eines Containers eines fest angeordneten Elements in
einer Spalte einen Denial-of-Service-Zustand herbeizuführen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1087/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2488

Schwachstelle CVE-2012-1937:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1937

Schwachstelle CVE-2012-1940:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1940

Schwachstelle CVE-2012-1947:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1947

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben