S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 mai 2005
N° CERTA-2005-ALE-003
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités de Firefox

Gestion du document

Référence CERTA-2005-ALE-003
Titre Multiples vulnérabilités de Firefox
Date de la première version09 mai 2005
Date de la dernière version12 mai 2005
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

Firefox version 1.0.3 et versions antérieures.

Résumé

Selon le site de l'éditeur dans une annonce du 8 mai 2005, deux vulnérabilités dans Firefox permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

  • La première vulnérabilité perment à un utilisateur mal intentionné d'exécuter du code à travers un script en javascript malicieusement écrit, via un site internet judicieusement construit ;
  • la deuxième vulnérabilité permet, quant à elle, à un utilisateur mal intentionné d'exécuter du code arbitraire avec des privilèges plus élevés.

Une combinaison de ces deux vulnérabilités permet à un utilisateur mal intentionné d'éxécuter du code arbitraire à distance.

Ces vulnérabilités sont actuellement exploites sur l'Internet.

Contournement provisoire

  • Désactiver la prise en charge des javascripts ;
  • désactiver l'installation d'extensions par des sites web.

Solution

La version 1.0.4 corrige ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 09 mai 2005
    version initiale.
    le 12 mai 2005
    première révision : ajout de la solution.