{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<UL>    <LI>Mozilla Firefox pour les versions ant\u00e9rieures \u00e0 2.0.0.12    ;</LI>    <LI>Mozilla SeaMonkey pour les versions ant\u00e9rieures 1.1.8    ;</LI>    <LI>Mozilla Thunderbird pour les versions ant\u00e9rieures \u00e0    2.0.0.12.</LI>  </UL>  <P>A la date de r\u00e9daction de cet avis, la version 2.0.0.12 de  Thunderbird n'est cependant pas t\u00e9l\u00e9chargeable sur le site  officiel Mozilla.</P>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox. Parmi celles-ci :\n\n-   des vuln\u00e9rabilit\u00e9s concernent le moteur JavaScript et provoquent\n    sous certaines conditions une corruption de m\u00e9moire.\n-   le navigateur ne manipulerait pas correctement les contr\u00f4les\n    d'entr\u00e9e de fichiers associ\u00e9s \u00e0 des balises de type label, pouvant\n    provoquer le vol de fichiers arbitraires sur le poste de la victime\n    ;\n-   des vuln\u00e9rabilit\u00e9s permettent de contourner la politique de source\n    commune (same-origin policy) et permettre d'injecter du code dans un\n    autre site. L'une d'elle est rendue possible par la fonction\n    XMLDocument.load() ;\n-   la gestion du stockage des mots de passe ne serait pas correcte : \u00e0\n    l'ajout d'une entr\u00e9e, le site distant pourrait alt\u00e9rer les mots de\n    passe d\u00e9j\u00e0 pr\u00e9sents et concernant d'autres sites ;\n-   l'URI chrome: permettrait de transgresser les droits d'acc\u00e8s et donc\n    d'acc\u00e9der \u00e0 des fichiers (scripts ou images par exemple), lorsque\n    certains modules compl\u00e9mentaires sont install\u00e9s (CERTA-2008-ACT-004)\n    ;\n-   les images ne sont pas correctement manipul\u00e9es \u00e0 la fermeture d'une\n    page qui utilise des cadres designMode. Cette vuln\u00e9rabilit\u00e9\n    permettrait ainsi de d\u00e9rober des historiques de navigation ou\n    perturber le navigateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2008-0415","url":"https://www.cve.org/CVERecord?id=CVE-2008-0415"},{"name":"CVE-2008-0417","url":"https://www.cve.org/CVERecord?id=CVE-2008-0417"},{"name":"CVE-2008-0418","url":"https://www.cve.org/CVERecord?id=CVE-2008-0418"},{"name":"CVE-2008-0419","url":"https://www.cve.org/CVERecord?id=CVE-2008-0419"},{"name":"CVE-2008-0413","url":"https://www.cve.org/CVERecord?id=CVE-2008-0413"},{"name":"CVE-2008-0592","url":"https://www.cve.org/CVERecord?id=CVE-2008-0592"},{"name":"CVE-2008-0593","url":"https://www.cve.org/CVERecord?id=CVE-2008-0593"},{"name":"CVE-2008-0414","url":"https://www.cve.org/CVERecord?id=CVE-2008-0414"},{"name":"CVE-2008-0591","url":"https://www.cve.org/CVERecord?id=CVE-2008-0591"},{"name":"CVE-2008-0594","url":"https://www.cve.org/CVERecord?id=CVE-2008-0594"},{"name":"CVE-2008-0412","url":"https://www.cve.org/CVERecord?id=CVE-2008-0412"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008-0104 du 08 f\u00e9vrier    2008 :","url":"http://rhn.redhat.com/errata/RHSA-2008-0104.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-04 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-04.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-08 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-08.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-05 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-05.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-09 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-09.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-11 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-11.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-03 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-03.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-06 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-06.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008-0103 du 08 f\u00e9vrier    2008 :","url":"http://rhn.redhat.com/errata/RHSA-2008-0103.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1484 du 10 f\u00e9vrier 2008 :","url":"http://www.debian.org/security/2008/dsa-1484"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-10 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-10.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-576-1 du 08 f\u00e9vrier 2008 :","url":"http://www.ubuntu.com/usn/usn-576-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1485 du 10 f\u00e9vrier 2008 :","url":"http://www.debian.org/security/2008/dsa-1485"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-02 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-02.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2008/MFSA2008-01 du 07 f\u00e9vrier 2008 :","url":"http://www.mozilla.org/security/announce/2008/MFSA2008-01.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008-0105 du 08 f\u00e9vrier    2008 :","url":"http://rhn.redhat.com/errata/RHSA-2008-0105.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1489 du 10 f\u00e9vrier 2008 :","url":"http://www.debian.org/security/2008/dsa-1489"}],"reference":"CERTA-2008-AVI-062","revisions":[{"description":"version initiale.","revision_date":"2008-02-08T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian.","revision_date":"2008-02-11T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox. L'exploitation de ces derni\u00e8res peut conduire notamment \u00e0\nl'ex\u00e9cution de code arbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans les produits Mozilla","vendor_advisories":[{"published_at":null,"title":"Annonce de la mise \u00e0 jour Mozilla Firefox 2.0.0.12 du 07 f\u00e9vrier 2008","url":null}]}