Risque
- Accès non sollicité ;
- déni de service ;
- exécution de code arbitraire à distance.
Systèmes affectés
Mozilla 1.4.
Résumé
Plusieurs vulnérabilités ont été découvertes dans le navigateur Mozilla.
Description
Plusieurs vulnérabilités affectent Mozilla de la façon suivante :
- un site malicieux peut contourner les mécanismes d'authentification d'un serveur mandataire ;
- une vulnérabilité présente dans les scripts
Script.prototype.freeze
etScript.thaw
permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance ; - NSS (Network Security Suite) est un ensemble de bibliothèques offrant des fonctions de chiffrement au navigateur. Une vulnérabilité présente dans la mise en œuvre de S/MIME permet à un individu mal intentionné d'effectuer un déni de service ou bien d'exécuter du code arbitraire à distance à l'aide d'un mél malicieusement constitué ;
- une vulnérabilité dans le mécanisme de gestion des cookies permet à un utilisateur mal intentionné de contourner les restrictions spécifiées sur les chemins.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs :
- Avis MDKSA-2004:021 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:021
- Avis RHSA-2004:112 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-112.html
- Bulletin de sécurité HPSBTU01021 pour HP Tru64 UNIX :
http://www.itrc.hp.com
- Bulletin de sécurité HPSBUX01036 pour HP-UX :
http://www.itrc.hp.com
Documentation
- Référence CVE CAN-2003-0594 :
https://www.cve.org/CVERecord?id=CAN-2003-0594
- référence CVE CAN-2003-0564 :
https://www.cve.org/CVERecord?id=CAN-2003-0564
- Avis CERTA-2004-AVI-081 du CERTA :
http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-081/