DFN-CERT-2012-1227 Mehrere Schwachstellen in Icedove [Linux][Debian]

DFN-CERT-2012-1227 Mehrere Schwachstellen in Icedove [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket icedove in Debian GNU/Linux 6.0 (squeeze) vor Version
3.0.11-1+squeeze11

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)

Mehrere Schwachstellen in der Mozilla Browser Engine und darauf basierten
Softwareprojekten ermöglichen einem entfernten Angreifer schlimmstenfalls
das Ausführen beliebigen Codes mit den Rechten der Anwendung.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-1939: Schwachstelle in der Datei ‘jsinfer.cpp’ der Mozilla Browser
Engine

Die Mozilla Browser Engine, welche in Mozilla Firefox ESR der Versionen 10.x
vor 10.0.5 und Mozilla Thunderbird ESR der Versionen 10.x vor 10.0.5
verwendet wird, bestimmt Datentypen in der Datei ‘jsinfer.cpp’ nicht
fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen einer präparierten Webseite einen Denial-of-Service-Zustand
herbeizuführen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur Ausführung zu bringen. Voraussetzung dafür ist, dass der
Anwender die Webseite aufruft.

CVE-2012-1937: Mehrere Schwachstelle in der Mozilla Browser Engine

In der Mozilla Browser Engine, welche in Mozilla Firefox in den Versionen
4.x bis einschließlich 12.0, Firefox ESR der Versionen 10.x vor 10.0.5,
Thunderbird der Versionen 5.0 bis einschließlich 12.0, Thunderbird ESR der
Versionen 10.x vor 10.0.5 und SeaMonkey vor Version 2.10 verwendet wird,
kann eine Korruption des Speichers hervorgerufen werden. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen einer präparierten
Webseite einen Denial-of-Service-Zustand herbeizuführen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen. Voraussetzung dafür ist, dass der Anwender die
Webseite aufruft.

CVE-2012-1940: Use-After-Free Schwachstelle in Mozilla Browser Engine

Die Mozilla Browser Engine, die in Mozilla Firefox der Versionen 4.x bis
einschließlich 12.0, Mozilla Firefox ESR der Versionen 10.x vor 10.0.5,
Mozilla Thunderbird der Versionen 5.0 bis einschließlich 12.0, Mozilla
Thunderbird ESR der Versionen 10.x vor 10.0.5 und SeaMonkey vor Version 2.10
verwendet wird, enthält eine Use-After-Free Schwachstelle in der Funktion
nsFrameList::FirstChild(). Einem entfernten Angreifer ermöglicht dies durch
das Ändern der Größe eines Containers eines fest angeordneten Elements in
einer Spalte einen Denial-of-Service-Zustand herbeizuführen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1227/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2499

Schwachstelle CVE-2012-1937:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1937

Schwachstelle CVE-2012-1939:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1939

Schwachstelle CVE-2012-1940:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1940

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben