Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mozilla Contournement de la Sécurité et Vulnérabilités de Dépassement de Tampon

22/01/2007 13H54
Référence Secunia : SA14684 
Date de publication : 2005-03-24

Risque : Elevé. Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla 1.7.x

Référence CVE :
CVE-2005-0401


Description :
Deux vulnérabilités ont été identifiées dans Mozilla, qui pourraient être exploitées par des personnes malintentionnées pour passer outre certaines restrictions de sécurité et compromettre le système d'un utilisateur.

1) Une erreur dans la restriction de privileged XUL fichiers peut par ex. être exploité pour ouvrir a local privileged XUL file en incitant un utilisateur dragging a faked scrollbar.

La vulnérabilité lui-même ne pose pas any direct security risk comme no XUL fichiers dans le produit use external parameters dans an insécurisé way nor do any destructive actions quand being opened.

2) Une erreur de limitation dans le GIF image processing of Netscape extension 2 blocks pourrait être exploitée pour causer un "heap overflow" via une image spécialement conçue.

L'exploitation de ce problème pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

Les vulnérabilités ont été identifiées dans les versions inférieures à 1.7.6.


Solutions :
Mettre à jour en version 1.7.6.
http://www.mozilla.org/products/mozilla1.x/


Vulnérabilité découverte par :

1) Michael Krax
2) Mark Dowd, ISS X-Force

Référence :
1) Mozilla:
http://www.mozilla.org/security/announce/mfsa2005-32.html

2) Mozilla:
http://www.mozilla.org/security/announce/mfsa2005-30.html

ISS:
http://xforce.iss.net/xforce/alerts/id/191




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.