Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Thunderbird et Firefox, les versions antérieures à la 2.0.0.8 ;
- SeaMonkey, les versions antérieures à la 1.1.5.
Il faut cependant noter que, si Mozilla semble corriger les erreurs dans la version 2.0.0.8 de Thunderbird, seule la version 2.0.0.6 est disponible en téléchargement public, à la date de rédaction de cet avis.
Résumé
Les mises à jour Mozilla corrigent plusieurs vulnérabilités. Deux sont considérées comme critiques, dont l'une en relation avec l'alerte CERTA-2007-ALE-015 «Vulnérabilité dans le traitement des URI sous Windows».
Description
Les produits Mozilla sont affectés par plusieurs vulnérabilités. L'une concerne une mauvaise gestion des URI (Uniform resource Identifier) contenant des charactères encodés avec %. Une autre entraine un dysfonctionnement avec corruption de la mémoire.
Solution
Se référer au bulletin de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Alerte CERTA-2007-ALE-015 du 11 octobre 2007 : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-29 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-30 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-30.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-31 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-31.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-32 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-32.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-33 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-33.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-34 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-34.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-35 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-36 du 18 octobre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
- Mise à jour Red Hat RHSA-2007-0979 du 19 octobre 2007 pour Firefox : http://rhn.redhat.com/errata/RHSA-2007-0979.html
- Mise à jour Red Hat RHSA-2007-0980 du 19 octobre 2007 pour Seamonkey : http://rhn.redhat.com/errata/RHSA-2007-0980.html
- Mise à jour Red Hat RHSA-2007-0981 du 19 octobre 2007 pour Thunderbird : http://rhn.redhat.com/errata/RHSA-2007-0981.html
- Mise à jour de sécurité Suse du 19 octobre 2007 : http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00006.html
- Référence CVE CVE-2006-2894 https://www.cve.org/CVERecord?id=CVE-2006-2894
- Référence CVE CVE-2007-1095 https://www.cve.org/CVERecord?id=CVE-2007-1095
- Référence CVE CVE-2007-2292 https://www.cve.org/CVERecord?id=CVE-2007-2292
- Référence CVE CVE-2007-3511 https://www.cve.org/CVERecord?id=CVE-2007-3511
- Référence CVE CVE-2007-4841 https://www.cve.org/CVERecord?id=CVE-2007-4841
- Référence CVE CVE-2007-5334 https://www.cve.org/CVERecord?id=CVE-2007-5334
- Référence CVE CVE-2007-5337 https://www.cve.org/CVERecord?id=CVE-2007-5337
- Référence CVE CVE-2007-5338 https://www.cve.org/CVERecord?id=CVE-2007-5338
- Référence CVE CVE-2007-5339 https://www.cve.org/CVERecord?id=CVE-2007-5339
- Référence CVE CVE-2007-5340 https://www.cve.org/CVERecord?id=CVE-2007-5340
