Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Mozilla Firefox 3.x : versions antérieures à la version 3.6.25 ;
- Mozilla Firefox versions antérieures à la version 9.0 ;
- Mozilla SeaMonkey versions antérieures à la version 2.6 ;
- Mozilla Thunderbird 3.x : versions antérieures à la version 3.1.17 ;
- Mozilla Thunderbird versions antérieures à la version 9.0 ;
Résumé
Plusieurs vulnérabilités ont été corrigées dans les produits Mozilla dont certaines permettent à un utilisateur malintentionné d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été corrigées dans les produits Mozilla :
- mfsa2011-53 : plusieurs problèmes de gestion mémoire peuvent être exploités dans le but d'exécuter du code arbitraire à distance ;
- mfsa2011-54 : un arrêt inopiné de l'application peut être provoqué à partir de certaines expressions régulières spécialement conçues et utilisées dans du javascript ;
- mfsa2011-55 : une erreur dans la gestions d'éléments SVG permet, sous certaines conditions, un accès à une zone non autorisée de la mémoire ;
- mfsa2011-56 : une erreur dans la gestion d'éléments SVG permet à un site malveillant d'enregistrer des frappes clavier de l'utilisateur ;
- mfsa2011-57 : une exécution de code arbitraire à distance ou un arrêt inopiné de l'application peut être provoqué par un greffon (plugin) spécialement conçu (Mac OS X uniquement) ;
- mfsa2011-58 : un arrêt inopiné de l'application peut être provoqué en utilisant un élélment OGG spécialement conçu ;
- mfsa2011-59 : une installation de code malveillant peut être provoqué en incitant l'utilisateur à maintenir enfonée la touche « Entrée » (Mac OS X uniquement).
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-53 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-53.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-54 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-54.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-55 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-55.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-56 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-56.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-57 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-57.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-58 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-58.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-59 du 20 décembre 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-59.html
- Référence CVE CVE-2011-3658 https://www.cve.org/CVERecord?id=CVE-2011-3658
- Référence CVE CVE-2011-3660 https://www.cve.org/CVERecord?id=CVE-2011-3660
- Référence CVE CVE-2011-3661 https://www.cve.org/CVERecord?id=CVE-2011-3661
- Référence CVE CVE-2011-3663 https://www.cve.org/CVERecord?id=CVE-2011-3663
- Référence CVE CVE-2011-3664 https://www.cve.org/CVERecord?id=CVE-2011-3664
- Référence CVE CVE-2011-3665 https://www.cve.org/CVERecord?id=CVE-2011-3665
- Référence CVE CVE-2011-3666 https://www.cve.org/CVERecord?id=CVE-2011-3666
