Risque
- Contournement de la politique de sécurité ;
- usurpations multiples (frames, boites de dialogue, certificats SSL ...) ;
- déni de service ;
- exécution de code arbitraire à distance.
Systèmes affectés
- Toutes les versions de Mozilla Suite antérieures à la version 1.7.2 ;
- toutes les versions de Mozilla Firefox antérieures à la version 0.9.3 ;
- toutes les versions de Mozilla Thunderbird antérieures à la version 0.7.3.
Description
Les produits Mozilla sont constitués notamment par les navigateurs Internet Mozilla Suite et Mozilla Firefox ainsi que le client de messagerie électronique Mozilla Thunderbird.
De multiples vulnérabilités ont été découvertes dans les produits Mozilla. Ces vulnérabilités permettent à un utilisateur mal intentionné de contourner la politique de sécurité, d'usurper un certain nombre d'éléments (frames, boites de dialogues, certificats SSL ...), de créer des dénis de service ou d'exécuter du code arbitraire à distance.
Solution
- Mettre à jour Mozilla Suite en version 1.7.2 ;
- mettre à jour Mozilla Firefox en version 0.9.3 ;
- mettre à jour Mozilla Thunderbird en version 0.7.3.
Mozilla Suite, Mozilla Firefox et Mozilla Thunderbird sont téléchargeables à l'adresse suivante :
http://www.mozilla.org/
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de la fondation Mozilla :
http://www.mozilla.org
- Site Internet du navigateur Mozilla Suite :
http://www.mozilla.org/products/mozilla1.x/
- Site Internet du navigateur Mozilla Firefox :
http://www.mozilla.org/products/firefox/
- Site Internet du client de messagerie Mozilla Thunderbird :
http://www.mozilla.org/products/thunderbird/
- Bulletin de sécurité RedHat RHSA-2004:421 du 04 août 2004 :
http://rhn.redhat.com/errata/RHSA-2004-421.html
- Bulletin de sécurité Mandrake MDKSA-2004:082 du 12 août 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:082
- Bulletin de sécurité Gentoo GLSA-200408-22 du 23 août 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200408-22.xml
- Mise à jour de sécurité des paquetages NetBSD mozilla, firefox et thunderbird :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/mozilla/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/firefox/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/thunderbird/README.html
- Bulletins de sécurité FreeBSD pour mozilla du 14 septembre 2004 :
http://www.vuxml.org/freebsd/
- Référence CVE CAN-2004-0597 :
https://www.cve.org/CVERecord?id=CAN-2004-0597
- Référence CVE CAN-2004-0598 :
https://www.cve.org/CVERecord?id=CAN-2004-0598
- Référence CVE CAN-2004-0599 :
https://www.cve.org/CVERecord?id=CAN-2004-0599
- Référence CVE CAN-2004-0718 :
https://www.cve.org/CVERecord?id=CAN-2004-0718
- Référence CVE CAN-2004-0722 :
https://www.cve.org/CVERecord?id=CAN-2004-0722
- Références CVE CAN-2004-0757 à CAN-2004-0765 :
https://www.cve.org/CVERecord?id=CAN-2004-0757
https://www.cve.org/CVERecord?id=CAN-2004-0758
https://www.cve.org/CVERecord?id=CAN-2004-0759
https://www.cve.org/CVERecord?id=CAN-2004-0760
https://www.cve.org/CVERecord?id=CAN-2004-0761
https://www.cve.org/CVERecord?id=CAN-2004-0762
https://www.cve.org/CVERecord?id=CAN-2004-0763
https://www.cve.org/CVERecord?id=CAN-2004-0764
https://www.cve.org/CVERecord?id=CAN-2004-0765