Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Ronen Zilberman et Michal Zalewski ont découvert qu'une situation de concurrence temporelle permettait l'injection de contenu dans les cadres about:blank.
Michal Zalewski a découvert que les règles same-origin pour les documents wyciwyg:// n'étaient pas suffisamment imposées.
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson et Vladimir Sukhoy ont découvert des plantages dans le moteur de rendu, cela peut permettre l'exécution de code arbitraire.
Asaf Romano, Jesse Ruderman et Igor Bukanov ont découvert des plantages dans le moteur JavaScript, cela peut permettre l'exécution de code arbitraire.
moz_bug_r_a4
a découvert que les fonctions addEventListener() et
setTimeout() permettaient des attaques par script inter-site.
moz_bug_r_a4
a découvert qu'une erreur de programmation dans la
gestion des événements permettait l'augmentation des privilèges.
shutdown
et moz_bug_r_a4
ont découvert que XPCNativeWrapper
permettait l'exécution de code arbitraire.
Les produits Mozilla dans l'ancienne distribution stable (Sarge) ne bénéficient plus de mises à jour de sécurité. Vous êtes fortement encouragés à faire une mise à jour vers la distribution stable dès que possible.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.5-0etch1. Les constructions pour les architectures alpha et mips ne sont pas encore disponibles, elles seront fournies ultérieurement.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.0.0.5-1.
Nous vous recommandons de mettre à jour vos paquets iceweasel.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.