Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mozilla Firefox Wizz RSS News Reader Extension Cross-Context Scripting

17/04/2007 11H29
Référence Secunia : SA24913 
Date de publication : 2007-04-17

Risque : Elevé. Niveau 4 sur 5.
Impact : Cross Site Scripting, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Wizz RSS News Reader (Extension pour Mozilla Firefox) 2.x

Description :
Une vulnérabilité a été rapportée dans le Wizz RSS News Reader extension pour Mozilla Firefox, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

Une certaine entrée n'est pas correctement filtrée avant d'être utilisée et pourrait être exploitée pour par ex. exécuter du code de script arbitraire dans le "chrome:" context.

L'exploitation de ce problème est possible seulement si un utilisateur est poussé à charger un flux RSS spécialement conçu.

La vulnérabilité est rapportée en versions inférieures à 2.1.9.


Solutions :
Mettre à jour en version 2.1.9.
https://addons.mozilla.org/en-US/firefox/addon/424


Vulnérabilité découverte par :

L'éditeur crédite Jefferson Ogata, NOAA Computer Incident Response Team.

Référence :
Wizz RSS News Reader:
https://addons.mozilla.org/en-US/firefox/addon/424


Autres références :

US-CERT VU#319464:
http://www.kb.cert.org/vuls/id/319464




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.