S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 mars 2007
N° CERTA-2007-AVI-146
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Firefox

Gestion du document

Référence CERTA-2007-AVI-146
Titre Vulnérabilité dans Firefox
Date de la première version 28 mars 2007
Date de la dernière version 28 mars 2007
Source(s) Bulletin de sécurité Mozilla mfsa-2007-11 du 20 mars 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Firefox 1.5.0.10 et versions antérieures ;
  • Firefox 2.0.0.2 et versions antérieures.

Résumé

Une vulnérabilité dans le navigateur Internet Mozilla Firefox permet à un utilisateur malintentionné de contourner la politique de sécurité du réseau.

Description

Une vulnérabilité présente dans la gestion de la commande PASV durant une connexion FTP (File Transfer Protocol) permet à un utilisateur, à l'aide de code javascript, de réaliser un balayage de ports sur le réseau depuis le système vulnérable.

Solution

Appliquer la mise à jour de sécurité Firefox en passant à la version 2.0.0.3 ou 1.5.0.11 disponibles à l'adresse suivante :

http://www.getfirefox.com/

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 mars 2007
    version initiale.