Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Thunderbird et Firefox, les versions antérieures à la 2.0.0.8 ;
- SeaMonkey, les versions antérieures à la 1.1.5.
Il faut cependant noter que, si Mozilla semble corriger les erreurs dans la version 2.0.0.8 de Thunderbird, seule la version 2.0.0.6 est disponible en téléchargement public, à la date de rédaction de cet avis.
Résumé
Les mises à jour Mozilla corrigent plusieurs vulnérabilités. Deux sont considérées comme critiques, dont l'une en relation avec l'alerte CERTA-2007-ALE-015 «Vulnérabilité dans le traitement des URI sous Windows».
Description
Les produits Mozilla sont affectés par plusieurs vulnérabilités. L'une concerne une mauvaise gestion des URI (Uniform resource Identifier) contenant des charactères encodés avec %. Une autre entraine un dysfonctionnement avec corruption de la mémoire.
Solution
Se référer au bulletin de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla MFSA2007-29 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-30 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-30.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-31 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-31.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-32 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-32.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-33 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-33.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-34 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-34.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-35 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-36 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
- Alerte CERTA-2007-ALE-015 du 11 octobre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html
- Référence CVE CVE-2007-5339 :
https://www.cve.org/CVERecord?id=CVE-2007-5339
- Référence CVE CVE-2007-5340 :
https://www.cve.org/CVERecord?id=CVE-2007-5340
- Référence CVE CVE-2007-1095 :
https://www.cve.org/CVERecord?id=CVE-2007-1095
- Référence CVE CVE-2007-2292 :
https://www.cve.org/CVERecord?id=CVE-2007-2292
- Référence CVE CVE-2007-3511 :
https://www.cve.org/CVERecord?id=CVE-2007-3511
- Référence CVE CVE-2006-2894 :
https://www.cve.org/CVERecord?id=CVE-2006-2894
- Référence CVE CVE-2007-5334 :
https://www.cve.org/CVERecord?id=CVE-2007-5334
- Référence CVE CVE-2007-5337 :
https://www.cve.org/CVERecord?id=CVE-2007-5337
- Référence CVE CVE-2007-5338 :
https://www.cve.org/CVERecord?id=CVE-2007-5338
- Référence CVE CVE-2007-4841 :
https://www.cve.org/CVERecord?id=CVE-2007-4841
- Mise à jour Red Hat RHSA-2007-0981 du 19 octobre 2007 pour Thunderbird :
http://rhn.redhat.com/errata/RHSA-2007-0981.html
- Mise à jour Red Hat RHSA-2007-0980 du 19 octobre 2007 pour Seamonkey :
http://rhn.redhat.com/errata/RHSA-2007-0980.html
- Mise à jour Red Hat RHSA-2007-0979 du 19 octobre 2007 pour Firefox :
http://rhn.redhat.com/errata/RHSA-2007-0979.html
- Mise à jour de sécurité Suse du 19 octobre 2007 :
http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00006.html