S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 juillet 2009
N° CERTA-2009-AVI-290
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Mulitples vulnérabilités dans Mozilla Firefox

Gestion du document

Référence CERTA-2009-AVI-290
Titre Mulitples vulnérabilités dans Mozilla Firefox
Date de la première version24 juillet 2009
Date de la dernière version24 juillet 2009
Source(s) Bulletins de sécurité MFSA2009-34 à MFSA2009-40 du 21 juillet 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire à distance
  • Injection de code indirecte

Systèmes affectés

Mozilla Firefox versions antérieures à la 3.5.1.

Résumé

De mulitples vulnérabilités ont été découvertes dans Mozilla Firefox et permettent à une personne malintentionnée distante d'effectuer des injections de code indirectes et d'exécuter du code arbitraire.

Description

Plusieurs vulnérabilités dans Mozilla Firefox ont été découvertes :

  • plusieurs erreurs dans la gestion de la mémoire ont été corrigées ;
  • une erreur dans l'intégration du module Flash permet une exécution de code arbitraire à distance ;
  • une erreur dans la gestion de certaines polices de caractères permet à une personne distante malveillante d'exécuter du code arbitraire ;
  • un problème relatif aux éléments SVG (Scalable Vector Graphics) peut conduire à une exécution de code arbitraire à distance ;
  • une exécution de code arbitraire est possible via la fonction setTimeout() dans certaines conditions ;
  • des injections de code indirectes peuvent être menées par l'intermédaire de certains objets.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 juillet 2009
    version initiale.