Vulnérabilités dans Mozilla Firefox

Risque

Exécution de code arbitraire à distance ;
contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

Systèmes affectés

Mozilla Firefox versions antérieures à 2.0.0.16 ;
Mozilla Firefox 3.0.

Résumé

Des vulnérabilités identifiées dans Mozilla Firefox permettent à une personne malintentionnée de contourner la politique de sécurité, de porter atteinte à la confidentialité des données et / ou d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été identifiée dans les versions 2.0.0.15 et 3.0 de Mozilla Firefox. Elle permet à une personne malintentionnée de lancer des URI de type chrome: ou des URI normalement traitées par une autre application. Ceci peut être exploité pour porter atteinte à la confidentialité des données.

Une deuxième faille dans Mozilla Firefox 3.0 permet d'injecter des scripts dans des documents chrome. Cette attaque permet à un attaquant de contourner la politique de sécurité. Couplée avec la première vulnérabilité, cette faille permettrait également d'exécuter du code arbitraire.

Une troisième vulnérabilité a été identifiée dans les deux branches de Mozilla Firefox. Elle concerne un compteur de taille insuffisante utilisé pour référencer des objets CSS. Ceci peut être exploité par une personne malintentionnée pour exécuter du code arbitraire à distance.

Enfin, une quatrième vulnérabilité concerne le traitement des GIF dans Mozilla Firefox 3.0 sous Mac OS X. Une personne malintentionnée pourrait ainsi exécuter du code arbitraire à distance via un fichier GIF spécialement conçu.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité de la fondation Mozilla 2008/MFSA2008-36 du 16 juillet 2008 :
```
http://www.mozilla.org/security/announce/2008/MFSA2008-36.html
```
Bulletin de sécurité de la fondation Mozilla 2008/MFSA2008-35 du 15 juillet 2008 :
```
http://www.mozilla.org/security/announce/2008/MFSA2008-35.html
```
Bulletin de sécurité de la fondation Mozilla 2008/MFSA2008-34 du 15 juillet 2008 :
```
http://www.mozilla.org/security/announce/2008/MFSA2008-34.html
```
Note de vulnérabilité de l'US-CERT VU#130923 du 16 juillet 2008 :
```
http://www.kb.cert.org/vuls/id/130923
```

Référence CVE CVE-2008-2934 :

https://www.cve.org/CVERecord?id=CVE-2008-2934

Référence CVE CVE-2008-2933 :

https://www.cve.org/CVERecord?id=CVE-2008-2933

Référence CVE CVE-2008-2785 :

https://www.cve.org/CVERecord?id=CVE-2008-2785

Référence CVE CVE-2008-2786 :

https://www.cve.org/CVERecord?id=CVE-2008-2786

Référence	CERTA-2008-AVI-368
Titre	Vulnérabilités dans Mozilla Firefox
Date de la première version	17 juillet 2008
Date de la dernière version	17 juillet 2008
Source(s)	Bulletin de sécurité Mozilla MFSA 2008-36 du 16 juillet 2008 Bulletin de sécurité Mozilla MFSA 2008-35 du 15 juillet 2008 Bulletin de sécurité Mozilla MFSA 2008-34 du 15 juillet 2008
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Vulnérabilités dans Mozilla Firefox

Gestion du document