Risques

  • Déni de service
  • Exécution potentielle de code arbitraire à distance

Systèmes affectés

Tout système - quel que soit le système d'exploitation - utilisant un butineur Mozilla, Mozilla-Firefox ou Netscape.

La vulnérabilité existe mais ne peut être exploitée par défaut sur le client de messagerie Mozilla Thunderbird.

Résumé

Il est possible de créer une page web contenant un lien volontairement mal formé qui va bloquer le butineur. L'exécution de code avec les privilèges de l'utilisateur courant n'est pas exclue.

Description

Une erreur dans la prise en compte des noms de domaines internationaux (« IDN », extension des noms de domaine à des caractères non ASCII) peut provoquer un débordement de tampon en mémoire.

Contournement provisoire

Désactiver le support d'IDN dans le butineur (voir le vendeur Mozilla dans la section Documentation) en exécutant le correctif proposé ou en éditant la configuration à l'aide de la commande about:config dans la barre de navigation et en positionnant la valeur network.enableIDN à false.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation