Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Firefox 1.5.0.9 et versions antérieures ;
- Firefox 2.0.0.1 et versions antérieures ;
- Network Security Services 3.11.4 et versions antérieures.
- Seamonkey 1.0.7 et versions antérieures ;
- Thunderbird 1.5.0.9 et versions antérieures ;
Résumé
Plusieurs vulnérabilités sur les produits Mozilla cités ci-dessus permettraient le contournement de la politique de sécurité, l'atteinte à la confidentialité des données ou l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été découvertes dans les produits de Mozilla. L'exploitation de ces vulnérabilités peut se faire de différentes façons (script hostile, boite de dialogue malformée, certificats malformés, etc.) et permet à des utilisateurs malintentionnés de provoquer un déni de service, d'exécuter du code arbitraire ou d'obtenir des droits élevés sur la machine victime.
Solution
Les versions suivantes corrigent les problèmes :
- Firefox 1.5.0.10 ;
- Firefox 2.0.0.2 ;
- Thunderbird 1.5.0.10 ;
- Seamonkey 1.0.8 ;
- Network Security Services 3.11.5.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La branche de développement 1.5.x de Firefox ne sera plus maintenue au-delà du 24 avril 2007.
Documentation
- Notes de mises à jour de Firefox 2.0.0.2 du 26 février 2007 None
- Notes de mises à jour de Seamonkey 1.0.8 du 26 février 2007 None
- Notes de mises à jour de Thunderbird 1.5.0.10 du 26 février 2007 None
- Bulletin de sécurité Mozilla MFSA 2007-1 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-001.html
- Bulletin de sécurité Mozilla MFSA 2007-2 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-002.html
- Bulletin de sécurité Mozilla MFSA 2007-3 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-003.html
- Bulletin de sécurité Mozilla MFSA 2007-4 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-004.html
- Bulletin de sécurité Mozilla MFSA 2007-5 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-005.html
- Bulletin de sécurité Mozilla MFSA 2007-6 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-006.html
- Bulletin de sécurité Mozilla MFSA 2007-7 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-007.html
- Bulletin de sécurité Mozilla MFSA 2007-8 du 23 février 2007 http://www.mozilla.org/security/announce/2007/mfsa2007-008.html
- Mise à jour de sécurité Gentoo GLSA-200703-04 du 02 mars 2007 http://www.gentoo.org/security/en/glsa-200703-04.xml
- Mise à jour de sécurité Gentoo GLSA-200703-08 du 09 mars 2007 http://www.gentoo.org/security/en/glsa/glsa-200703-08.xml
- Mise à jour de sécurité Gentoo GLSA-200703-18 du 16 mars 2007 http://www.gentoo.org/security/en/glsa/glsa-200703-18.xml
- Mise à jour de sécurité Gentoo GLSA-200703-22 du 20 mars 2007 http://www.gentoo.org/security/en/glsa/glsa-200703-22.xml
- Mise à jour de sécurité Mandriva MDKSA-2007:050 du 28 février 2007 http://www.mandriva.com/security/advisories?name=MDKSA-2007:050
- Mise à jour de sécurité Mandriva MDKSA-2007:050-1 du 02 mars 2007 http://www.mandriva.com/security/advisories?name=MDKSA-2007:050-1
- Mise à jour de sécurité Red Hat RHSA-2007:0077 du 23 février 2007 http://rhn.redhat.com/errata/RHSA-2007-0077.html
- Mise à jour de sécurité Red Hat RHSA-2007:0078 du 02 mars 2007 http://rhn.redhat.com/errata/RHSA-2007-0078.html
- Mise à jour de sécurité Red Hat RHSA-2007:0079 du 23 février 2007 http://rhn.redhat.com/errata/RHSA-2007-0079.html
- Mise à jour de sécurité SuSE SUSE-SA:2007:019 du 06 mars 2007 : http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
- Mise à jour de sécurité SuSE SUSE-SA:2007:022 du 20 mars 2007 http://lists.suse.com/archive/suse-security-announce/2007-Mar/0006.html
- Mise à jour de sécurité Ubuntu USN-428-1 du 26 février 2007 http://www.ubuntu.com/usn/usn-428-1
- Mise à jour de sécurité Ubuntu USN-428-2 du 02 mars 2007 http://www.ubuntu.com/usn/usn-428-2
- Mise à jour de sécurité Ubuntu USN-431-1 du 07 mars 2007 http://www.ubuntu.com/usn/usn-431-1
- Référence CVE CVE-2006-6077 https://www.cve.org/CVERecord?id=CVE-2006-6077
- Référence CVE CVE-2007-0008 https://www.cve.org/CVERecord?id=CVE-2007-0008
- Référence CVE CVE-2007-0009 https://www.cve.org/CVERecord?id=CVE-2007-0009
- Référence CVE CVE-2007-0775 https://www.cve.org/CVERecord?id=CVE-2007-0775
- Référence CVE CVE-2007-0776 https://www.cve.org/CVERecord?id=CVE-2007-0776
- Référence CVE CVE-2007-0777 https://www.cve.org/CVERecord?id=CVE-2007-0777
- Référence CVE CVE-2007-0778 https://www.cve.org/CVERecord?id=CVE-2007-0778
- Référence CVE CVE-2007-0779 https://www.cve.org/CVERecord?id=CVE-2007-0779
- Référence CVE CVE-2007-0780 https://www.cve.org/CVERecord?id=CVE-2007-0780
- Référence CVE CVE-2007-0800 https://www.cve.org/CVERecord?id=CVE-2007-0800
- Référence CVE CVE-2007-0981 https://www.cve.org/CVERecord?id=CVE-2007-0981
- Référence CVE CVE-2007-0995 https://www.cve.org/CVERecord?id=CVE-2007-0995