Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Mozilla Firefox versions inférieures à la version 3.0.5 ;
- Mozilla Thunderbird versions inférieures à la version 2.0.0.19 ;
- Mozilla SeaMonkey versions inférieures à la version 1.1.14.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Mozilla. Ces vulnérabilités peuvent être exploitées afin de réaliser un grand nombre d'actions malveillantes, dont l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans les produits Mozilla :
- Firefox
- : les vulnérabilités sont, pour la plupart, dues à une mauvaise gestion du langage Javascript. Ces vulnérabilités peuvent être exploitées afin, entre autre, de contourner la politique de sécurité, réaliser une injection de code indirecte, ou d'exécuter du code arbitraire à distance.
- Thunderbird
- : l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.
- SeaMonkey
- : l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La nouvelle version de Thunderbird n'est pas encore disponible. En attendant, le CERTA recommande d'utiliser un client de messagerie alternatif.
Documentation
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-60.html
http://www.mozilla.org/security/announce/2008/mfsa2008-61.html
http://www.mozilla.org/security/announce/2008/mfsa2008-63.html
http://www.mozilla.org/security/announce/2008/mfsa2008-64.html
http://www.mozilla.org/security/announce/2008/mfsa2008-65.html
http://www.mozilla.org/security/announce/2008/mfsa2008-66.html
http://www.mozilla.org/security/announce/2008/mfsa2008-67.html
http://www.mozilla.org/security/announce/2008/mfsa2008-68.html
http://www.mozilla.org/security/announce/2008/mfsa2008-69.html
- Référence CVE CVE-2008-5500 :
https://www.cve.org/CVERecord?id=CVE-2008-5500
- Référence CVE CVE-2008-5501 :
https://www.cve.org/CVERecord?id=CVE-2008-5501
- Référence CVE CVE-2008-5502 :
https://www.cve.org/CVERecord?id=CVE-2008-5502
- Référence CVE CVE-2008-5503 :
https://www.cve.org/CVERecord?id=CVE-2008-5503
- Référence CVE CVE-2008-5505 :
https://www.cve.org/CVERecord?id=CVE-2008-5505
- Référence CVE CVE-2008-5506 :
https://www.cve.org/CVERecord?id=CVE-2008-5506
- Référence CVE CVE-2008-5507 :
https://www.cve.org/CVERecord?id=CVE-2008-5507
- Référence CVE CVE-2008-5508 :
https://www.cve.org/CVERecord?id=CVE-2008-5508
- Référence CVE CVE-2008-5510 :
https://www.cve.org/CVERecord?id=CVE-2008-5510
- Référence CVE CVE-2008-5511 :
https://www.cve.org/CVERecord?id=CVE-2008-5511
- Référence CVE CVE-2008-5512 :
https://www.cve.org/CVERecord?id=CVE-2008-5512
- Référence CVE CVE-2008-5513 :
https://www.cve.org/CVERecord?id=CVE-2008-5513