Objet: Multiples vulnérabilités dans les produits Mozilla

Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité.

Systèmes affectés

• Mozilla Firefox version 1.5.0.4 ainsi que les versions antérieures ;
• Mozilla Thunderbird version 1.5.0.4 ainsi que les versions antérieures ;
• Mozilla SeaMonkey version 1.0.2 ainsi que les versions antérieures.

Résumé

De multiples vulnérabilités ont été identifiées dans les produits Mozilla. Celles-ci permettraient à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

De multiples vulnérabilités présentes dans Mozilla Firefox, Thunderbird et SeaMonkey permettent à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type injection de code indirecte (aussi appelé cross-Site Scripting) ou d'exécuter du code arbitraire à distance. Plusieurs de ces vulnérabilités sont issues du module Javascript.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Ubuntu USN-327-1 du 27 juillet 2006 :

  http://www.ubuntu.com/usn/usn-327-1
  

• Bulletin de sécurité Ubuntu USN-329-1 du 28 juillet 2006 :

  http://www.ubuntu.com/usn/usn-329-1
  

• Bulletin de sécurité RedHat RHSA-2006:0608 du 27 juillet 2006 :

  http://rhn.redhat.com/errata/RHSA-2006-0608.html
  

• Bulletin de sécurité RedHat RHSA-2006:0609 du 02 août 2006 :

  http://rhn.redhat.com/errata/RHSA-2006-0609.html
  

• Bulletin de sécurité RedHat RHSA-2006:0610 du 28 juillet 2006 :

  http://rhn.redhat.com/errata/RHSA-2006-0610.html
  

• Bulletin de sécurité RedHat RHSA-2006:0611 du 28 juillet 2006 :

  http://rhn.redhat.com/errata/RHSA-2006-0611.html
  

• Bulletin de sécurité Gentoo GLSA 200608-02 du 03 août 2006 :

  http://www.gentoo.org/security/en/glsa/glsa-200608-02.xml
  

• Bulletin de sécurité Gentoo GLSA 200608-03 du 03 août 2006 :

  http://www.gentoo.org/security/en/glsa/glsa-200608-03.xml
  

• Bulletin de sécurité Gentoo GLSA 200608-04 du 03 août 2006 :

  http://www.gentoo.org/security/en/glsa/glsa-200608-04.xml
  

• Bulletin de sécurité SGI 20060703-01-P du 31 juillet 2006 :

  ftp://patches.sgi.com/support/free/security/advisories/20060703-01-U.asc
  

• Bulletin de sécurité de Mandriva Linux MDKSA-2006:143-1 du 17 août 2006 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2006:143-1
  

• Bulletin de sécurité Mozilla MFSA-2006-44 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-44.html
  

• Bulletin de sécurité Mozilla MFSA-2006-45 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-45.html
  

• Bulletin de sécurité Mozilla MFSA-2006-46 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-46.html
  

• Bulletin de sécurité Mozilla MFSA-2006-47 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-47.html
  

• Bulletin de sécurité Mozilla MFSA-2006-48 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-48.html
  

• Bulletin de sécurité Mozilla MFSA-2006-49 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-49.html
  

• Bulletin de sécurité Mozilla MFSA-2006-50 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-50.html
  

• Bulletin de sécurité Mozilla MFSA-2006-51 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-51.html
  

• Bulletin de sécurité Mozilla MFSA-2006-52 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-52.html
  

• Bulletin de sécurité Mozilla MFSA-2006-53 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-53.html
  

• Bulletin de sécurité Mozilla MFSA-2006-54 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-54.html
  

• Bulletin de sécurité Mozilla MFSA-2006-55 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-55.html
  

• Bulletin de sécurité Mozilla MFSA-2006-56 du 25 juillet 2006 :

  http://www.mozilla.org/security/announce/2006/mfsa2006-56.html
  

• Référence CVE CVE-2006-3801 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3801
  

• Référence CVE CVE-2006-3802 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3802
  

• Référence CVE CVE-2006-3803 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3803
  

• Référence CVE CVE-2006-3804 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3804
  

• Référence CVE CVE-2006-3805 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3805
  

• Référence CVE CVE-2006-3806 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3806
  

• Référence CVE CVE-2006-3807 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3807
  

• Référence CVE CVE-2006-3808 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3808
  

• Référence CVE CVE-2006-3809 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3809
  

• Référence CVE CVE-2006-3810 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3810
  

• Référence CVE CVE-2006-3811 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3811
  

• Référence CVE CVE-2006-3812 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3812
  

• Référence CVE CVE-2006-3113 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3113
  

• Référence CVE CVE-2006-3677 :

  http://cve.mitre.org/cgi-bin/cvs-name.cgi?name=CVE-2006-3677