Multiples vulnérabilités de produits Mozilla

Risque

Exécution de code arbitraire à distance ;
contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

Systèmes affectés

Firefox 1.5.0.9 et versions antérieures ;
Firefox 2.0.0.1 et versions antérieures ;
Thunderbird 1.5.0.9 et versions antérieures ;
Seamonkey 1.0.7 et versions antérieures ;
Network Security Services 3.11.4 et versions antérieures.

Résumé

Plusieurs vulnérabilités sur les produits Mozilla cités ci-dessus permettraient le contournement de la politique de sécurité, l'atteinte à la confidentialité des données ou l'exécution de code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été découvertes dans les produits de Mozilla. L'exploitation de ces vulnérabilités peut se faire de différentes façons (script hostile, boite de dialogue malformée, certificats malformés, etc.) et permet à des utilisateurs malintentionnés de provoquer un déni de service, d'exécuter du code arbitraire ou d'obtenir des droits élevés sur la machine victime.

Solution

Les versions suivantes corrigent les problèmes :

Firefox 1.5.0.10 ;
Firefox 2.0.0.2 ;
Thunderbird 1.5.0.10 ;
Seamonkey 1.0.8 ;
Network Security Services 3.11.5.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La branche de développement 1.5.x de Firefox ne sera plus maintenue au-delà du 24 avril 2007.

Documentation

Bulletin de sécurité Mozilla MFSA 2007-1 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-001.html
```
Bulletin de sécurité Mozilla MFSA 2007-2 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-002.html
```
Bulletin de sécurité Mozilla MFSA 2007-3 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-003.html
```
Bulletin de sécurité Mozilla MFSA 2007-4 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-004.html
```
Bulletin de sécurité Mozilla MFSA 2007-5 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-005.html
```
Bulletin de sécurité Mozilla MFSA 2007-6 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-006.html
```
Bulletin de sécurité Mozilla MFSA 2007-7 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-007.html
```
Bulletin de sécurité Mozilla MFSA 2007-8 du 23 février 2007 :
```
http://www.mozilla.org/security/announce/2007/mfsa2007-008.html
```

Référence CVE CVE-2006-6077 :

https://www.cve.org/CVERecord?id=CVE-2006-6077

Référence CVE CVE-2007-0008 :

https://www.cve.org/CVERecord?id=CVE-2007-0008

Référence CVE CVE-2007-0009 :

https://www.cve.org/CVERecord?id=CVE-2007-0009

Référence CVE CVE-2007-0775 :

https://www.cve.org/CVERecord?id=CVE-2007-0775

Référence CVE CVE-2007-0776 :

https://www.cve.org/CVERecord?id=CVE-2007-0776

Référence CVE CVE-2007-0777 :

https://www.cve.org/CVERecord?id=CVE-2007-0777

Référence CVE CVE-2007-0778 :

https://www.cve.org/CVERecord?id=CVE-2007-0778

Référence CVE CVE-2007-0779 :

https://www.cve.org/CVERecord?id=CVE-2007-0779

Référence CVE CVE-2007-0780 :

https://www.cve.org/CVERecord?id=CVE-2007-0780

Référence CVE CVE-2007-0800 :

https://www.cve.org/CVERecord?id=CVE-2007-0800

Référence CVE CVE-2007-0981 :

https://www.cve.org/CVERecord?id=CVE-2007-0981

Référence CVE CVE-2007-0995 :

https://www.cve.org/CVERecord?id=CVE-2007-0995

Mise à jour de sécurité Gentoo GLSA-200703-04 du 02 mars 2007 :
```
http://www.gentoo.org/security/en/glsa/glsa-200703-04.xml
```
Mise à jour de sécurité Gentoo GLSA-200703-08 du 09 mars 2007 :
```
http://www.gentoo.org/security/en/glsa/glsa-200703-08.xml
```
Mise à jour de sécurité Gentoo GLSA-200703-18 du 16 mars 2007 :
```
http://www.gentoo.org/security/en/glsa/glsa-200703-18.xml
```
Mise à jour de sécurité Gentoo GLSA-200703-22 du 20 mars 2007 :
```
http://www.gentoo.org/security/en/glsa/glsa-200703-22.xml
```
Mise à jour de sécurité Red Hat RHSA-2007:0077 du 23 février 2007 :
```
http://rhn.redhat.com/errata/RHSA-2007-0077.html
```
Mise à jour de sécurité Red Hat RHSA-2007:0078 du 02 mars 2007 :
```
http://rhn.redhat.com/errata/RHSA-2007-0078.html
```
Mise à jour de sécurité Red Hat RHSA-2007:0079 du 23 février 2007 :
```
http://rhn.redhat.com/errata/RHSA-2007-0079.html
```
Mise à jour de sécurité Mandriva MDKSA-2007:050 du 28 février 2007 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2007:050
```
Mise à jour de sécurité Mandriva MDKSA-2007:050-1 du 02 mars 2007 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2007:050-1
```

Mise à jour de sécurité SuSE SUSE-SA:2007:019 du 06 mars 2007 :

http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html

Mise à jour de sécurité SuSE SUSE-SA:2007:022 du 20 mars 2007 :

http://lists.suse.com/archive/suse-security-announce/2007-Mar/0006.html

Mise à jour de sécurité Ubuntu USN-428-1 du 26 février 2007 :
```
http://www.ubuntu.com/usn/usn-428-1
```
Mise à jour de sécurité Ubuntu USN-428-2 du 02 mars 2007 :
```
http://www.ubuntu.com/usn/usn-428-2
```
Mise à jour de sécurité Ubuntu USN-431-1 du 07 mars 2007 :
```
http://www.ubuntu.com/usn/usn-431-1
```

Référence	CERTA-2007-AVI-102-003
Titre	Multiples vulnérabilités de produits Mozilla
Date de la première version	26 février 2007
Date de la dernière version	27 mars 2007
Source(s)	Notes de mises à jour de Firefox 2.0.0.2 Notes de mises à jour de Thunderbird 1.5.0.10 Notes de mises à jour de Seamonkey 1.0.8
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités de produits Mozilla

Gestion du document