Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket icedtea-web

Betroffene Plattformen:

openSUSE 11.4

Ein entfernter Angreifer kann eine Schwachstelle im Browser-Plugin von
IcedTea-Web ausnutzen, um das Plugin zum Absturz zu bringen oder um
schlimmstenfalls beliebige Befehle mit den Rechten des Benutzers
auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-4540: Buffer Overflow in IcedTea-Web

In dem Browser-Plug-in von IcedTea-Web 1.1.x vor 1.1.7, 1.2.x vor 1.2.2 und
1.3.x vor 1.3.1 wird beim Reservieren von Speicherplatz für Fehlermeldungen
das abschließende Null-Byte nicht berücksichtigt, was zu einem
Buffer-Overflow um ein Byte (off-by-one) im Heap-Segment führt. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen, um das Plug-in zum
Absturz zu bringen oder um schlimmstenfalls beliebige Befehle mit den
Rechten des Benutzers auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0147/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2012-4540:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4540

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.