{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Firefox 3.0.x et 3.5.x.</p>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s affectent le navigateur Firefox :\n\n-   la diff\u00e9rence de traitement des noms d'h\u00f4tes contenant un caract\u00e8re\n    null ill\u00e9gal par les autorit\u00e9s de certification, lors de la demande\n    de certificat par le serveur, et par le navigateur, lors de\n    l'\u00e9tablissement d'une session SSL, permet \u00e0 un utilisateur\n    malveillant de lire ou de modifier des donn\u00e9es dans une transaction\n    s\u00e9curis\u00e9e par SSL. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 utilisateur\n    malveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance au travers du\n    syst\u00e8me de mise \u00e0 jour ;\n-   le traitement d'expression r\u00e9guli\u00e8re dans les certificats de clefs\n    publiques restait compatible avec celui des navigateurs Netscape. Ce\n    traitement laxiste permet \u00e0 un utilisateur malveillant d'ex\u00e9cuter du\n    code arbitraire \u00e0 distance en pr\u00e9sentant au navigateur un certificat\n    sp\u00e9cialement con\u00e7u ;\n-   le contenu de la barre d'adresse peut ne pas \u00eatre conforme au\n    contenu de la fen\u00eatre principale. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un\n    utilisateur malveillant de contourner la politique de s\u00e9curit\u00e9 en\n    trompant l'utilisateur sur l'identit\u00e9 du site sur lequel il navigue.\n\n## Solution\n\nLes versions 3.5.2 et 3.0.13 corrigent ces vuln\u00e9rabilit\u00e9s.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2009-2408","url":"https://www.cve.org/CVERecord?id=CVE-2009-2408"},{"name":"CVE-2009-2654","url":"https://www.cve.org/CVERecord?id=CVE-2009-2654"},{"name":"CVE-2009-2404","url":"https://www.cve.org/CVERecord?id=CVE-2009-2404"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-44 du 03 ao\u00fbt 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-44.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-42 du 01 ao\u00fbt 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-42.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla    2009/mfsa2009-43 du 01 ao\u00fbt 2009 :","url":"http://www.mozilla.org/security/announce/2009/mfsa2009-43.html"}],"reference":"CERTA-2009-AVI-306","revisions":[{"description":"version initiale.","revision_date":"2009-08-04T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s affectent le navigateur Firefox et permettent \u00e0\nun utilisateur malveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9s dans Firefox","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Mozilla 2009/mfsa2009-42 \u00e0 44","url":null}]}