S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 mai 2005
N° CERTA-2005-ALE-003-001
Affaire suivie par: CERT-FR
le 09 mai 2005

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités de Firefox

Gestion du document

Référence CERTA-2005-ALE-003-001
Titre Multiples vulnérabilités de Firefox
Date de la première version 09 mai 2005
Date de la dernière version 12 mai 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • élévation de privilèges.

Systèmes affectés

Firefox version 1.0.3 et versions antérieures.

Résumé

Selon le site de l'éditeur dans une annonce du 8 mai 2005, deux vulnérabilités dans Firefox permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

  • La première vulnérabilité perment à un utilisateur mal intentionné d'exécuter du code à travers un script en javascript malicieusement écrit, via un site internet judicieusement construit ;
  • la deuxième vulnérabilité permet, quant à elle, à un utilisateur mal intentionné d'exécuter du code arbitraire avec des privilèges plus élevés.

Une combinaison de ces deux vulnérabilités permet à un utilisateur mal intentionné d'éxécuter du code arbitraire à distance.

Ces vulnérabilités sont actuellement exploites sur l'Internet.

Contournement provisoire

  • Désactiver la prise en charge des javascripts ;
  • désactiver l'installation d'extensions par des sites web.

Solution

La version 1.0.4 corrige ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 09 mai 2005
    version initiale.
    le 12 mai 2005
    première révision : ajout de la solution.