Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Firefox 1.5.0.9 et versions antérieures ;
- Firefox 2.0.0.1 et versions antérieures ;
- Thunderbird 1.5.0.9 et versions antérieures ;
- Seamonkey 1.0.7 et versions antérieures ;
- Network Security Services 3.11.4 et versions antérieures.
Résumé
Plusieurs vulnérabilités sur les produits Mozilla cités ci-dessus permettraient le contournement de la politique de sécurité, l'atteinte à la confidentialité des données ou l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été découvertes dans les produits de Mozilla. L'exploitation de ces vulnérabilités peut se faire de différentes façons (script hostile, boite de dialogue malformée, certificats malformés, etc.) et permet à des utilisateurs malintentionnés de provoquer un déni de service, d'exécuter du code arbitraire ou d'obtenir des droits élevés sur la machine victime.
Solution
Les versions suivantes corrigent les problèmes :
- Firefox 1.5.0.10 ;
- Firefox 2.0.0.2 ;
- Thunderbird 1.5.0.10 ;
- Seamonkey 1.0.8 ;
- Network Security Services 3.11.5.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La branche de développement 1.5.x de Firefox ne sera plus maintenue au-delà du 24 avril 2007.
Documentation
- Bulletin de sécurité Mozilla MFSA 2007-1 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-001.html
- Bulletin de sécurité Mozilla MFSA 2007-2 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-002.html
- Bulletin de sécurité Mozilla MFSA 2007-3 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-003.html
- Bulletin de sécurité Mozilla MFSA 2007-4 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-004.html
- Bulletin de sécurité Mozilla MFSA 2007-5 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-005.html
- Bulletin de sécurité Mozilla MFSA 2007-6 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-006.html
- Bulletin de sécurité Mozilla MFSA 2007-7 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-007.html
- Bulletin de sécurité Mozilla MFSA 2007-8 du 23 février 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-008.html
- Référence CVE CVE-2006-6077 :
https://www.cve.org/CVERecord?id=CVE-2006-6077
- Référence CVE CVE-2007-0008 :
https://www.cve.org/CVERecord?id=CVE-2007-0008
- Référence CVE CVE-2007-0009 :
https://www.cve.org/CVERecord?id=CVE-2007-0009
- Référence CVE CVE-2007-0775 :
https://www.cve.org/CVERecord?id=CVE-2007-0775
- Référence CVE CVE-2007-0776 :
https://www.cve.org/CVERecord?id=CVE-2007-0776
- Référence CVE CVE-2007-0777 :
https://www.cve.org/CVERecord?id=CVE-2007-0777
- Référence CVE CVE-2007-0778 :
https://www.cve.org/CVERecord?id=CVE-2007-0778
- Référence CVE CVE-2007-0779 :
https://www.cve.org/CVERecord?id=CVE-2007-0779
- Référence CVE CVE-2007-0780 :
https://www.cve.org/CVERecord?id=CVE-2007-0780
- Référence CVE CVE-2007-0800 :
https://www.cve.org/CVERecord?id=CVE-2007-0800
- Référence CVE CVE-2007-0981 :
https://www.cve.org/CVERecord?id=CVE-2007-0981
- Référence CVE CVE-2007-0995 :
https://www.cve.org/CVERecord?id=CVE-2007-0995
- Mise à jour de sécurité Gentoo GLSA-200703-04 du 02 mars 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200703-04.xml
- Mise à jour de sécurité Gentoo GLSA-200703-08 du 09 mars 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200703-08.xml
- Mise à jour de sécurité Gentoo GLSA-200703-18 du 16 mars 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200703-18.xml
- Mise à jour de sécurité Gentoo GLSA-200703-22 du 20 mars 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200703-22.xml
- Mise à jour de sécurité Red Hat RHSA-2007:0077 du 23 février 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0077.html
- Mise à jour de sécurité Red Hat RHSA-2007:0078 du 02 mars 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0078.html
- Mise à jour de sécurité Red Hat RHSA-2007:0079 du 23 février 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0079.html
- Mise à jour de sécurité Mandriva MDKSA-2007:050 du 28 février 2007 :
http://www.mandriva.com/security/advisories?name=MDKSA-2007:050
- Mise à jour de sécurité Mandriva MDKSA-2007:050-1 du 02 mars 2007 :
http://www.mandriva.com/security/advisories?name=MDKSA-2007:050-1
- Mise à jour de sécurité SuSE SUSE-SA:2007:019 du 06 mars 2007 :
http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
- Mise à jour de sécurité SuSE SUSE-SA:2007:022 du 20 mars 2007 :
http://lists.suse.com/archive/suse-security-announce/2007-Mar/0006.html
- Mise à jour de sécurité Ubuntu USN-428-1 du 26 février 2007 :
http://www.ubuntu.com/usn/usn-428-1
- Mise à jour de sécurité Ubuntu USN-428-2 du 02 mars 2007 :
http://www.ubuntu.com/usn/usn-428-2
- Mise à jour de sécurité Ubuntu USN-431-1 du 07 mars 2007 :
http://www.ubuntu.com/usn/usn-431-1