Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Mozilla Firefox 3 : Vulnérabilités Diverses

24/09/2008 11H51
Référence Secunia : SA320112008-09-24
Critique. Critique Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Exposition d'informations systèmes, Exposition de données sensibles, DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla Firefox 3.x


Référence CVE :
CVE-2008-3837
CVE-2008-4058
CVE-2008-4060
CVE-2008-4061
CVE-2008-4062
CVE-2008-4063
CVE-2008-4064
CVE-2008-4065
CVE-2008-4067
CVE-2008-4068

Description :
Quelques vulnérabilités ont été identifiées dans Mozilla Firefox, qui pourraient être exploitées par des personnes malintentionnées pour passer outre certaines restrictions de sécurité, pour divulguer des informations sensibles, ou pour potentiellement compromettre le système d'un utilisateur.

1) Une erreur dans les fonctionnalités JavaScript déplacer et redimensionner pourrait être exploitée pour pousser l'utilisateur à cliquer un bouton non-attendu et par ex. télécharger un fichier malicieux.

2) Plusieurs erreurs pourrait être exploitée pour pollute "XPCNativeWrappers" et run code de script arbitraire avec les privilèges Chrome.

3) Plusieurs erreurs dans "XSLT" et "document.loadBindingDocument()" en créant des documents pourrait être exploitée à lancer du code de script arbitraire avec les privilèges Chrome.

4) Plusieurs erreurs dans le layout et moteur JavaScripts pourrait être exploitée pour corrompre la mémoire.

5) Deux erreurs dans le image rendering implementation pourrait être exploitée pour causer un crash.

6) Une erreur dans le moteur de rendu graphique pourrait être exploitée pour causer un crash.

L'exploitation de ces vulnérabilités #4-#6 pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

7) Une erreur dans le traitement de caractères BOM inclus dans du code JavaScript pourrait être exploitée pour potentiellement contourner des filtres de script et faciliter des attaques cross-site scripting.

8) Plusieurs erreurs dans l'implémentation de le "resource:" protocol pourrait être exploitée pour réaliser des attaques par traversée de répertoire et divulguer des informations sensibles.

L'exploitation de ces vulnérabilités #4-#6 pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

Les vulnérabilités sont rapportées en versions inférieures à 3.0.2.


Solutions :
Mettre à jour en version 3.0.2.


Vulnérabilité découverte par :

L'éditeur crédite:
1) Paul Nickerson
2) moz_bug_r_a4
3) Olli Pettay et moz_bug_r_a4
4) Jesse Ruderman, Igor Bukanov, Philip Taylor, Georgi Guninski, Antoine Labour, Jesse Ruderman, Bob Clary, et Martijn Warger
5) Drew Yao of Apple Product Security
6) David Maciejak
7) Dave Reed, Microsoft
8) Boris Zbarsky et Georgi Guninski

Référence :
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html
http://www.mozilla.org/security/announce/2008/mfsa2008-41.html
http://www.mozilla.org/security/announce/2008/mfsa2008-42.html
http://www.mozilla.org/security/announce/2008/mfsa2008-43.html
http://www.mozilla.org/security/announce/2008/mfsa2008-44.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.