Firefox versions 2.0.0.4 et ant\u00e9rieures.
","closed_at":"2007-07-18","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s dont certaines ont d\u00e9j\u00e0 \u00e9t\u00e9 abord\u00e9es dans nos\nbulletins d'actualit\u00e9s sont pr\u00e9sentes dans le navigateur Mozilla Firefox\n:\n\n- une premi\u00e8re concerne une erreur mal corrig\u00e9e relative au contexte\n de navigation ressource:// qui permettrait un acc\u00e8s \u00e0 certains\n fichiers de la machine vuln\u00e9rable. Un article dans le bulletin\n d'actualit\u00e9 CERTA-2007-ACT-020 d\u00e9taille cette vuln\u00e9rabilit\u00e9. Il est\n \u00e0 noter que la faille n'est que partiellement corrig\u00e9e et permet\n encore l'acc\u00e8s \u00e0 certains fichiers.\n- une seconde concerne le syst\u00e8me de mise \u00e0 jour des extensions dans\n Firefox. Un manque de contr\u00f4le dans la mani\u00e8re dont les mises \u00e0 jour\n des extensions sont effectu\u00e9es permet l'utilisation de protocoles\n non-s\u00fbrs. Les d\u00e9tails de cette faille sont pr\u00e9sent\u00e9s dans\n CERTA-2007-ACT-022.\n- une troisi\u00e8me et derni\u00e8re vuln\u00e9rabilit\u00e9 plus r\u00e9cente se rapporte \u00e0\n la gestion des IFRAMES et permettrait d'associer une gestion\n arbitraire d'\u00e9v\u00e9nements comme des frappes claviers dans le contexte\n d'une page particuli\u00e8re. Ainsi, il serait possible de capturer des\n \u00e9l\u00e9ments fournis par un utilisateur dans un formulaire et cela \u00e0 son\n insu.\n- une quatri\u00e8me vuln\u00e9rabilit\u00e9 est d\u00fbe au fait que Firefox ne filtre\n pas correctement les extensions des fichiers qui lui sont fournis en\n URL. Il est ainsi possible de modifier le comportement de Firefox\n vis-\u00e0-vis d'un fichier par le biais d'une extension construite de\n fa\u00e7on particuli\u00e8re. Cette faille permet donc \u00e0 un utilisateur\n malveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n\n## Contournement provisoire\n\nDe fa\u00e7on g\u00e9n\u00e9rale et en particulier pour la troisi\u00e8me vuln\u00e9rabilit\u00e9, il\nest fortement recommand\u00e9 de d\u00e9sactiver par d\u00e9faut le support des\nJavascript dans Firefox. \nL'accumulation de vuln\u00e9rabilit\u00e9s dans Firefox peut rendre \u00e9galement\npr\u00e9f\u00e9rable l'utilisation d'un navigateur alternatif autre que ceux bas\u00e9s\nsur le moteur de rendu de Firefox : Gecko.\n\n## Solution\n\nSe reporter \u00e0 la mise \u00e0 jour de Mozilla Firefox, version 2.0.0.5,\npubli\u00e9e le 17 juillet 2007, et d\u00e9taill\u00e9e dans l'avis CERTA-2007-AVI-318.\n","cves":[{"name":"CVE-2007-3074","url":"https://www.cve.org/CVERecord?id=CVE-2007-3074"},{"name":"CVE-2007-3072","url":"https://www.cve.org/CVERecord?id=CVE-2007-3072"},{"name":"CVE-2007-3089","url":"https://www.cve.org/CVERecord?id=CVE-2007-3089"},{"name":"CVE-2007-3073","url":"https://www.cve.org/CVERecord?id=CVE-2007-3073"}],"links":[{"title":"Bulletin d'actualit\u00e9 CERTA-2007-ACT-022 du 01 juin 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-022.pdf"},{"title":"Avis du CERTA CERTA-2007-AVI-318 du 18 juillet 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-318"},{"title":"Bulletin d'actualit\u00e9 CERTA-2007-ACT-020 du 18 mai 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-020.pdf"},{"title":"Rapport de coquille Mozilla #382686 :","url":"https://bugzilla.mozilla.org/show_bug.cgi?id=382686"},{"title":"Rapport de coquille Mozilla #381300 :","url":"https://bugzilla.mozilla.org/show_bug.cgi?id=381300"}],"reference":"CERTA-2007-ALE-012","revisions":[{"description":"version initiale ;","revision_date":"2007-06-06T00:00:00.000000"},{"description":"ajout de la quatri\u00e8me vuln\u00e9rabilit\u00e9 relative aux extensions de fichiers ;","revision_date":"2007-06-08T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences CVE.","revision_date":"2007-06-13T00:00:00.000000"},{"description":"ajout de la section Solution, suite \u00e0 la publication de la nouvelle version 2.0.0.5 de Firefox.","revision_date":"2007-07-18T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans Mozilla Firefox et\npermettent \u00e0 un utilisateur distant de porter atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es ou potentiellement d'ex\u00e9cuter du code\narbitraire sur la machine vuln\u00e9rable.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Mozilla Firefox","vendor_advisories":[]}