Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Firefox 1.x et versions antérieures ;
  • Mozilla 1.7.x et versions antérieures ;
  • Thunderbird 1.x et versions antérieures.

Résumé

De multiples vulnérabilités découvertes dans les applications basées sur le moteur Mozilla permettent à un utilisateur local ou distant mal intentionné d'exécuter de nombreuses actions malveillantes sur le système vulnérable.

Description

  • Une vulnérabilité présente dans la création des fichiers temporaires permet à un utilisateur mal intentionnné d'écraser des fichiers arbitraires via le suivi des liens symboliques (cf. MFSA 2005-28) ;
  • une vulnérabilité liée à la présentation de l'invite d'authentification HTTP permet à un individu malveillant de porter atteinte à la confidentialité des données (cf. MFSA 2005-24) ;
  • une vulnérabilité dans la fonction ''enregistrer le lien sous ...'' permet à un utilisateur mal intentionné, au moyen d'un site web malicieusement construit, de dissimuler l'extension du fichier à sauvegarder, à condition que l'option ``cacher les extensions de type connues'' soit activée sous Windows (cf. MFSA 2005-22) ;
  • une vulnérabilité due à un mauvais traitement des fichiers raccourcis (.lnk) peut être exploitée afin de porter atteinte à l'intégrité des données présentes sur le système (cf. MFSA 2005-21) ;
  • une vulnérabilité présente dans les documents XML (eXtended Markup Language) utilisant des feuilles de style de type XSLT (eXtended Styles Language Transformation) peut être exploitée afin de porter atteinte à la confidentialité des données (cf. MFSA 2005-20) ;
  • une vulnérabilité présente dans la fonction qui permet de remplir automatiquement les champs de formulaires peut être exploitée pour porter atteinte à la confidentialité des données (cf. MFSA 2005-19) ;
  • une vulnérabilité due à une erreur présente dans la bibliothèque de traitement des chaînes de caractères, permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance (cf. MFSA 2005-18) ;
  • un individu mal intentionné peut exploiter une vulnérabilité pour inciter l'utilisateur à installer des applications à partir de sites qui ne sont pas de confiance (cf. MFSA 2005-17) ;
  • une vulnérabilité de type débordement de mémoire lors de la convertion de texte UTF8 en Unicode permet à une personne malveillante d'exécuter à distance du code arbitraire sur le système vulnérable (cf. MFSA 2005-15) ;
  • une vulnérabilité pouvant être exploitée de plusieurs façons permet à un utilisateur mal intentionné de duper sa victime en lui faisant croire qu'elle accède à un site sécurisé (cf. MFSA 2005-14).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documention).

Documentation