Bonjour, On 19/07/2012 07:29, JP Guillonneau wrote: > suggestions. Merci JP, c'est intégré. Je ne renvoie que dsa-2514. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner incluse fournit des services de rendu pour plusieurs autres applications incluses dans Debian.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1948">CVE-2012-1948</a> <p>Benoit Jacob, Jesse Ruderman, Christian Holler, et Bill McCloskey ont identifié plusieurs problèmes de sécurité mémoire qui pourraient conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1950">CVE-2012-1950</a> <p>Mario Gomes et Code Audit Labs ont découvert qu'il est possible de forcer Iceweasel à afficher l'URL du site visité précédemment grâce à des actions de glisser-déposer dans la barre d'adresse. Cela pourrait être détourné pour réaliser des attaques de type hameçonnage.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1954">CVE-2012-1954</a> <p>Abhishek Arya a découvert un problème d'utilisation de mémoire après libération dans nsDocument::AdoptNode qui pourrait conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1966">CVE-2012-1966</a> <p><q>moz_bug_r_a4</q> a découvert qu'il est possible de réaliser des attaques par script intersite grâce au menu contextuel quand les URL data: sont utilisées.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1967">CVE-2012-1967</a> <p><q>moz_bug_r_a4</q> a découvert que dans certains cas, les URL javascript: peuvent être exécutées de façon à ce que les scripts puissent s'échapper du bac à sable (<q>sandbox</q>) JavaScript et s'exécuter avec des privilèges élevés. Cela peut conduire à l'exécution de code arbitraire.</p></li> </ul> <p>Note : nous recommandons aux utilisateurs de la version 3.5 d'Iceweasel fournie dans la branche stable de Debian d'envisager la mise à niveau vers la version 10.0 ESR (<q>Extended Support Release</q>) qui est maintenant disponible dans Debian Backports. Même si Debian continuera la prise en charge d'Iceweasel 3.5 dans la branche stable avec les mises à jour de sécurité, cela ne peut être fait qu'au mieux de nos moyens puisque l'amont n'assure plus de prise en charge. De plus, la branche 10.0 ajoute au navigateur des fonctionnalités de sécurité proactives.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-17.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.6esr-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2514.data" # $Id: dsa-2514.wml,v 1.2 2012-07-19 08:10:15 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature