Debian DSA-2565-1:iceweasel - 多个漏洞

critical Nessus 插件 ID 62667

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已发现在 Iceweasel(Debian 版本的 Mozilla Firefox Web 浏览器)中存在多种漏洞。通用漏洞和暴露计划识别以下问题:

- CVE-2012-3982:
浏览器引擎中存在多个不明的漏洞,可让远程攻击者通过未知的矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码。

- CVE-2012-3986:
Iceweasel 未正确将调用限为 DOMWindowUtils 方法,这可让远程攻击者通过构建的 JavaScript 代码绕过预期访问限制。

- CVE-2012-3990:
IME State Manager 实现中存在释放后使用漏洞可让远程攻击者通过与 nsIContent::GetNameSpaceID 函数相关的不明矢量执行任意代码。

- CVE-2012-3991:
Iceweasel 未正确将 JSAPI 访问限制为 GetProperty 函数,这可让远程攻击者通过构建的网站绕过同源策略,并且可能产生其他不明的影响。

- CVE-2012-4179:
nsHTMLCSSUtils::CreateCSSPropertyTxn 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务(堆内存损坏)。

- CVE-2012-4180:
nsHTMLEditor::IsPrevCharInNodeWhitespace 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4182:
nsTextEditRules::WillInsert 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务(堆内存损坏)。

- CVE-2012-4186:
nsWav-eReader::DecodeAudioData 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4188:
Convolve3x3 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

解决方案

升级 iceweasel 程序包。

对于稳定发行版本 (squeeze),已在版本 3.5.16-19 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/CVE-2012-3982

https://security-tracker.debian.org/tracker/CVE-2012-3986

https://security-tracker.debian.org/tracker/CVE-2012-3990

https://security-tracker.debian.org/tracker/CVE-2012-3991

https://security-tracker.debian.org/tracker/CVE-2012-4179

https://security-tracker.debian.org/tracker/CVE-2012-4180

https://security-tracker.debian.org/tracker/CVE-2012-4182

https://security-tracker.debian.org/tracker/CVE-2012-4186

https://security-tracker.debian.org/tracker/CVE-2012-4188

https://packages.debian.org/source/squeeze/iceweasel

https://www.debian.org/security/2012/dsa-2565

插件详情

严重性: Critical

ID: 62667

文件名: debian_DSA-2565.nasl

版本: 1.13

类型: local

代理: unix

发布时间: 2012/10/24

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:iceweasel, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2012/10/23

参考资料信息

CVE: CVE-2012-3982, CVE-2012-3986, CVE-2012-3990, CVE-2012-3991, CVE-2012-4179, CVE-2012-4180, CVE-2012-4182, CVE-2012-4186, CVE-2012-4188

BID: 55922, 55924, 55930, 56121, 56123, 56126, 56129, 56131, 56135

DSA: 2565