Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Mozilla Firefox version 2.0.0.6 ainsi que celles antérieures.

Résumé

Une vulnérabilité a été identifiée dans le navigateur Mozilla Firefox, en relation avec l'alerte CERTA-2007-ALE-014. L'exploitation de cette dernière permet à des fichiers, notamment au format QuickTime de lancer le navigateur par défaut en ligne de commandes avec des options arbitraires. La politique de sécurité configurée dans le navigateur est alors contournée.

Description

Une vulnérabilité a été identifiée dans le navigateur Mozilla Firefox, en relation avec l'alerte CERTA-2007-ALE-014. L'exploitation de cette dernière permet à des fichiers, notamment au format QuickTime (qtl) de lancer le navigateur par défaut en ligne de commandes avec des options arbitraires. Ainsi, l'option -chrome permet de lancer des scripts de commandes sur le système avec les droits de l'utilisateur. La politique de sécurité configurée dans le navigateur est alors contournée, cette vulnérabilité pouvant être utilisée pour installer et exécuter tout code arbitraire sur le système vulnérable.

Le correctif proposé par Mozilla bloque ainsi l'exécution de script arbitraire depuis la ligne de commandes.

Solution

Se référer au bulletin de sécurité MFSA2007-028 de Mozilla pour l'obtention des correctifs (cf. section Documentation).

Documentation