Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mozilla Firefox : Vulnérabilités Diverses

02/07/2008 14H00
Référence Secunia : SA30911 
Date de publication : 2008-07-02

Risque : Elevé. Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Cross Site Scripting, Spoofing, DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla Firefox 2.0.x


Description :
Quelques vulnérabilités ont été identifiées dans Mozilla Firefox, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques par Cross-Site Scripting et Spoofing, passer outre certaines restrictions de sécurité, ou pour potentiellement compromettre le système d'un utilisateur.

1) Plusieurs erreurs non-spécifiées pourraient être exploitées pour corrompre la mémoire et causer un crash. Aucune autre information n'est actuellement disponible.

2) Une erreur non spécifiée est relative au chargement de code de script dans un contexte Chrome depuis un "fastload" file.

3) Une erreur non spécifiée dans le "mozIJSSubScriptLoader.loadSubScript()" function pourrait être exploitée pour exécuter du code arbitraire.

4) Une erreur non spécifiée est relative à "File location" URLs obtenues depuis le listage de répertoires n'est pas échappé proprement.

5) Une erreur dans le processus block reflow pourrait être exploitée pour causer un plantage ou potentiellement exécuter du code arbitraire.

L'exploitation de ces vulnérabilités pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

6) Une erreur non spécifiée pourrait être exploitée pour conduire des attaques cross-site scripting à travers une violation de la politique de provenance identique du JavaScript.

7) Une erreur non spécifiée est relative à "signed JAR tampering". Aucune autre information n'est actuellement disponible.

8) Une erreur non spécifiée pourrait être exploitée pour téléverser des fichiers arbitraires via specially crafted "DOM Range" et "originalTarget" elements.

9) Une erreur dans le Java LiveConnect implementation sur Mac OS X pourrait être exploitée pour établir des connexions socket arbitraires.

10) Un accès mémoire non désinititialisé survient en chargeant malformed ".properties" files.

11) Une erreur dans le traitement de "Alt Names" distribué par "peer" de confiance certificates pourrait être exploitée pour conduire des attaques de type spoofing.

12) Une erreur dans le traitement de raccourcis d'URL Windows pourrait être exploitée à tourner un site distant comme un fichier local.

Les vulnérabilités sont rapportées en versions inférieures à 2.0.0.15.
. .

Solutions :
Mettre à jour en version 2.0.0.15.
http://www.mozilla.com/en-US/firefox/all-older.html


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.15




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.