Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Mozilla Firefox versions inférieures à la version 3.0.5 ;
- Mozilla SeaMonkey versions inférieures à la version 1.1.14.
- Mozilla Thunderbird versions inférieures à la version 2.0.0.19 ;
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Mozilla. Ces vulnérabilités peuvent être exploitées afin de réaliser un grand nombre d'actions malveillantes, dont l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans les produits Mozilla :
Firefox : : les vulnérabilités sont, pour la plupart, dues à une mauvaise gestion du langage Javascript. Ces vulnérabilités peuvent être exploitées afin, entre autre, de contourner la politique de sécurité, réaliser une injection de code indirecte, ou d'exécuter du code arbitraire à distance.
Thunderbird : : l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.
SeaMonkey : : l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La nouvelle version de Thunderbird n'est pas encore disponible. En attendant, le CERTA recommande d'utiliser un client de messagerie alternatif.
Documentation
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-63.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-66.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-60.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-64.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-65.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-67.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-69.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-68.html
- Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 : http://www.mozilla.org/security/announce/2008/mfsa2008-61.html
- Référence CVE CVE-2008-5500 https://www.cve.org/CVERecord?id=CVE-2008-5500
- Référence CVE CVE-2008-5501 https://www.cve.org/CVERecord?id=CVE-2008-5501
- Référence CVE CVE-2008-5502 https://www.cve.org/CVERecord?id=CVE-2008-5502
- Référence CVE CVE-2008-5503 https://www.cve.org/CVERecord?id=CVE-2008-5503
- Référence CVE CVE-2008-5505 https://www.cve.org/CVERecord?id=CVE-2008-5505
- Référence CVE CVE-2008-5506 https://www.cve.org/CVERecord?id=CVE-2008-5506
- Référence CVE CVE-2008-5507 https://www.cve.org/CVERecord?id=CVE-2008-5507
- Référence CVE CVE-2008-5508 https://www.cve.org/CVERecord?id=CVE-2008-5508
- Référence CVE CVE-2008-5510 https://www.cve.org/CVERecord?id=CVE-2008-5510
- Référence CVE CVE-2008-5511 https://www.cve.org/CVERecord?id=CVE-2008-5511
- Référence CVE CVE-2008-5512 https://www.cve.org/CVERecord?id=CVE-2008-5512
- Référence CVE CVE-2008-5513 https://www.cve.org/CVERecord?id=CVE-2008-5513
