Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire
  • Vulnérabilité de type cross site scripting

Systèmes affectés

  • Mozilla Firefox 1.0.2 et versions antérieures ;
  • Mozilla Suite 1.7.6 et versions antérieures.

Résumé

Plusieurs vulnérabilités découvertes dans les produits Mozilla permettent à un utilisateur mal intentionné d'exécuter du code arbitraire, de contourner la politique de sécurité ou d'effectuer des attaques de type cross site scripting.

Description

  • Une vulnérabilité découverte dans Firefox permet à un utilisateur mal intentionné d'exécuter du code arbitraire par le seul fait d'inciter l'utilisateur à installer manuellement des modules manquants (MFSA 2005-34) ;
  • une vulnérabilité découverte dans les produits Mozilla permet à un individu d'exécuter du code arbitraire, en incitant l'utilisateur à afficher une fenêtre popup (initialement bloquée) dont l'adresse réticulaire est malicieusement constituée (MFSA 2005-35) ;
  • une vulnéraibilité dans les produits Mozilla permet à un utilisateur distant mal intentionné d'effectuer des attaques de type cross site scripting au moyen d'un site web malicieusement construit (MFSA 2005-36) ;
  • une vulnérabilité dans les produits Mozilla permet à un individu mal intentionné d'exécuter du code arbitraire sur le système vulnérable (MFSA 2005-37) ;
  • une vulnérabilité découverte dans les produits Mozilla permet à un individu malveillant d'exécuter du code arbitraire au moyen d'un adresse réticulaire malicieusement constituée, initialement destinée à effectuer une recherche de modules manquants (MFSA 200-38) ;
  • une vulnérabilité affectant Firefox permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance au moyen d'une adresse réticulaire malicieusement construite (MFSA 2005-39) ;
  • une vulnérabilité découverte dans les objets javascript suivants : InstallTrigger et XPInstall-related. Cette vulnérabilité permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur le système vulnérable (MFSA 2005-40) ;
  • une vulnérabilité affectant les produits Mozilla permet à un utilisateur mal intentionné d'exécuter du code arbitraire. L'exploitation de cette vulnérabilité nécessite l'interaction de la victime (MFSA 2005-41).

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documenation).

  • Mise à jour de sécurité Firefox 1.0.3 :

    http://www.mozilla.org/products/firefox/
    
  • Mise à jour de sécurité Mozilla 1.7.7 :

    http://www.mozilla.org/products/mozilla1.x/
    

Documentation