{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Les versions de Mozilla Firefox ant\u00e9rieures \u00e0 3.0.9.","product":{"name":"Firefox","vendor":{"name":"Mozilla","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox. Parmi celles-ci\u00a0:\n\n-   le moteur de navigation Mozilla manipule incorrectement certaines\n    pages Web lorsque l'interpr\u00e9tation de code Javascript est active.\n    Cela provoque une corruption de la m\u00e9moire pouvant conduire, sous\n    certaines conditions, \u00e0 l'ex\u00e9cution de code arbitraire \u00e0 distance\u00a0;\n-   l'interpr\u00e9tation de certains caract\u00e8res graphiques est prise en\n    compte par l'IDN (International Domain Names) et peut ainsi \u00eatre\n    d\u00e9tourn\u00e9e pour favoriser des attaques en filoutage (phishing)\u00a0;\n-   le module Flash confond l'origine du contenu sous certaines\n    conditions, ce qui permet alors au code interpr\u00e9t\u00e9 d'acc\u00e9der\n    ill\u00e9gitimement \u00e0 certaines ressources (acc\u00e8s arbitraires en lecture\n    et \u00e9criture des Local Shared Objects par exemple)\u00a0;\n-   le navigateur ne manipule pas correctement les donn\u00e9es de\n    rafraichissement dans les en-t\u00eates (Refresh) permettant \u00e0 une page\n    malveillante de lancer des attaques par injection de code indirecte\n    ou \u00e0 forcer, sous certaines conditions, le navigateur \u00e0 interpr\u00e9ter\n    du code JavaScript arbitraire dans le contexte d'un site victime.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux avis de s\u00e9curit\u00e9 de Mozilla pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2009-1307","url":"https://www.cve.org/CVERecord?id=CVE-2009-1307"},{"name":"CVE-2009-1304","url":"https://www.cve.org/CVERecord?id=CVE-2009-1304"},{"name":"CVE-2009-0652","url":"https://www.cve.org/CVERecord?id=CVE-2009-0652"},{"name":"CVE-2009-1308","url":"https://www.cve.org/CVERecord?id=CVE-2009-1308"},{"name":"CVE-2009-1312","url":"https://www.cve.org/CVERecord?id=CVE-2009-1312"},{"name":"CVE-2009-1306","url":"https://www.cve.org/CVERecord?id=CVE-2009-1306"},{"name":"CVE-2009-1305","url":"https://www.cve.org/CVERecord?id=CVE-2009-1305"},{"name":"CVE-2009-1311","url":"https://www.cve.org/CVERecord?id=CVE-2009-1311"},{"name":"CVE-2009-1310","url":"https://www.cve.org/CVERecord?id=CVE-2009-1310"},{"name":"CVE-2009-1302","url":"https://www.cve.org/CVERecord?id=CVE-2009-1302"},{"name":"CVE-2009-1303","url":"https://www.cve.org/CVERecord?id=CVE-2009-1303"},{"name":"CVE-2009-1309","url":"https://www.cve.org/CVERecord?id=CVE-2009-1309"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-19 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-19.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-16 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-16.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-14 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-14.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-17 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-17.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-21 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-21.html"},{"title":"Avis de s\u00e9curit\u00e9 Mozilla pour Firefox 3.0\u00a0:","url":"http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.9"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-15 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-15.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-20 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-20.html"},{"title":"Notes de mise \u00e0 jour Mozilla Firefox 3.0.9 du 21 avril    2009\u00a0:","url":"http://www.mozilla.com/en-US/firefox/3.0.9/releasenotes/"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-18 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-18.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-22 du 21 avril 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-22.html"}],"reference":"CERTA-2009-AVI-157","revisions":[{"description":"version initiale.","revision_date":"2009-04-22T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Injection de requ\u00eates ill\u00e9gitimes par rebond (CSRF)"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox. L'exploitation de celles-ci peut avoir des cons\u00e9quences\nvari\u00e9es, du contournement de la politique de s\u00e9curit\u00e9 mise en place \u00e0\nl'ex\u00e9cutation de code arbitraire au cours d'une navigation sur une page\nsp\u00e9cialement construite.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Mozilla Firefox","vendor_advisories":[{"published_at":null,"title":"Notes de mise \u00e0 jour Mozilla Firefox 3.0.9 du 21 avril 2009","url":null}]}