{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Mozilla SeaMonkey 1.0.4 ainsi que les versions ant\u00e9rieures.","product":{"name":"N/A","vendor":{"name":"Mozilla","scada":false}}},{"description":"Mozilla Thunderbird 1.5.0.5 ainsi que les versions ant\u00e9rieures ;","product":{"name":"Thunderbird","vendor":{"name":"Mozilla","scada":false}}},{"description":"Mozilla Firefox 1.5.0.6 ainsi que les versions ant\u00e9rieures ;","product":{"name":"Firefox","vendor":{"name":"Mozilla","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les produits Mozilla\nFirefox, Thunderbird et SeaMonkey. Parmi celles-ci :\n\n-   la manipulation de certains codes Javascript par le navigateur\n    Firefox pourrait provoquer un d\u00e9bordement de la m\u00e9moire, et ainsi\n    permettre l'ex\u00e9cution de commandes arbitraires. L'utilisateur doit\n    visiter une page construite de mani\u00e8re malveillante pour \u00eatre\n    impact\u00e9. Cependant, la messagerie Thunderbird utilise en grande\n    partie le noyau du navigateur Firefox pour l'affichage de messages\n    en format HTML, quand cela est autoris\u00e9. L'utilisateur pourrait donc\n    avoir son syst\u00e8me compromis suite \u00e0 la lecture d'un courrier\n    \u00e9lectronique. Cette option n'est pas activ\u00e9e par d\u00e9faut.\n-   la d\u00e9sactivation de Javascript dans la messagerie Thunderbird ne\n    serait pas correctement effectu\u00e9e, et pourrait \u00eatre contourn\u00e9e afin\n    de permettre l'ex\u00e9cution de code Javascript \u00e0 l'insu de\n    l'utilisateur.\n-   une mauvaise v\u00e9rification des signatures RSA PKCS \\#1 v1.5 utilisant\n    un exposant de valeur 3. Cette vuln\u00e9rabilit\u00e9 est \u00e0 mettre en\n    relation avec l'avis du CERTA CERTA-200-AVI-384 concernant OpenSSL.\n-   la proc\u00e9dure de mise \u00e0 jour de Firefox et Thunderbird, bas\u00e9e sur SSL\n    ne s'effecturait pas correctement. Il serait possible, en usurpant\n    les r\u00e9ponses DNS adress\u00e9es \u00e0 la victime, de rediriger ses requ\u00eates\n    de mises \u00e0 jour vers un site malveillant. Le certificat ne serait\n    alors pas convenablement v\u00e9rifi\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de Mozilla pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-4339","url":"https://www.cve.org/CVERecord?id=CVE-2006-4339"},{"name":"CVE-2006-4566","url":"https://www.cve.org/CVERecord?id=CVE-2006-4566"},{"name":"CVE-2006-4570","url":"https://www.cve.org/CVERecord?id=CVE-2006-4570"},{"name":"CVE-2006-4253","url":"https://www.cve.org/CVERecord?id=CVE-2006-4253"},{"name":"CVE-2006-4568","url":"https://www.cve.org/CVERecord?id=CVE-2006-4568"},{"name":"CVE-2006-4565","url":"https://www.cve.org/CVERecord?id=CVE-2006-4565"},{"name":"CVE-2006-4567","url":"https://www.cve.org/CVERecord?id=CVE-2006-4567"},{"name":"CVE-2006-4340","url":"https://www.cve.org/CVERecord?id=CVE-2006-4340"},{"name":"CVE-2006-4569","url":"https://www.cve.org/CVERecord?id=CVE-2006-4569"},{"name":"CVE-2006-4571","url":"https://www.cve.org/CVERecord?id=CVE-2006-4571"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-352 du 25 septembre 2006 :","url":"http://www.ubuntu.com/usn/usn-352-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-60 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-60.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2006:0675 du 15 septembre    2006 :","url":"http://rhn.redhat.com/errata/RHSA-2006-0675.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-64 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-64.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-63 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-63.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2006:0677 du 15 septembre    2006 :","url":"http://rhn.redhat.com/errata/RHSA-2006-0677.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-59 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-59.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-57 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-57.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-351 du 22 septembre 2006 :","url":"http://www.ubuntu.com/usn/usn-351-1"},{"title":"Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2006:054 du 22 septembre    2006 :","url":"http://lists.suse.com/archive/suse-security-announce/2006-Sep/0008.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:168 du 20    septembre 2006 :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:168"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-62 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-62.html"},{"title":"Bulletin de s\u00e9curit\u00e9 SGI 20060901-01-P du 19 septembre 2006    :","url":"ftp://patches.sgi.com/support/free/security/advisories/20060901-01-P.asc"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-58 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-58.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-350 du 21 septembre 2006 :","url":"http://www.ubuntu.com/usn/usn-350-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2006:0676 du 15 septembre    2006 :","url":"http://rhn.redhat.com/errata/RHSA-2006-0676.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mozilla MFSA-2006-61 :","url":"http://www.mozilla.org/security/announce/2006/mfsa2006-61.html"}],"reference":"CERTA-2006-AVI-391","revisions":[{"description":"version initiale.","revision_date":"2006-09-15T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 SuSE, Ubuntu, Red Hat, Mandriva et SGI.","revision_date":"2006-09-26T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Ubuntu, Red Hat.","revision_date":"2006-09-28T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifies dans les produits Mozilla\nFirefox, Thunderbird et SeaMonkey. L'exploitation de ceux-ci contre un\nsyst\u00e8me vuln\u00e9rable peuvent conduire \u00e0 une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans les produits Mozilla","vendor_advisories":[{"published_at":null,"title":"Mises \u00e0 jour Mozilla du 14 septembre 2006","url":null}]}