{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Mozilla Firefox version 2.0.0.9 ainsi que celles ant\u00e9rieures ;","product":{"name":"Firefox","vendor":{"name":"Mozilla","scada":false}}},{"description":"Netscape Navigator versions 9.0.0.3 et ant\u00e9rieures.","product":{"name":"Firefox","vendor":{"name":"Mozilla","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox :\n\n1. l'une d'elles a \u00e9t\u00e9 pr\u00e9sent\u00e9e dans le bulletin d'actualit\u00e9\n CERTA-2007-ACT-045 du 09 novembre 2007, et implique les URI de la\n forme jar:. Des fichiers archiv\u00e9s se trouvant sur un site web (par\n d\u00e9faut, ou apr\u00e8s un t\u00e9l\u00e9chargement) peuvent \u00eatre exploit\u00e9s pour\n lancer des attaques par injection de code indirecte (XSS). Le\n correctif limite l'usage de ces URI par un en-t\u00eate Content-Type de\n forme application/java-archive et application/x-jar. Il s'agit donc\n d'une mesure de correction partielle.\n2. une vuln\u00e9rabilit\u00e9 permet de tricher sur le champ Referer de\n l'en-t\u00eate HTTP. Celle-ci peut \u00eatre exploit\u00e9e pour lancer des\n attaques de type CSRF (Cross-Site Request Forgery), en rempla\u00e7ant sa\n valeur l\u00e9gitime et apr\u00e8s une situation de comp\u00e9tition particuli\u00e8re.\n3. trois autres vuln\u00e9rabilit\u00e9s sont cit\u00e9es par Mozilla. Elles\n provoqueraient une corruption de la m\u00e9moire, et permettraient\n \u00e9ventuellement d'ex\u00e9cuter des commandes arbitraires sur un syst\u00e8me\n vuln\u00e9rable. Elles concernent notamment l'interpr\u00e9tation d'images PNG\n et la m\u00e9thode destructor XBL.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2007-5947","url":"https://www.cve.org/CVERecord?id=CVE-2007-5947"},{"name":"CVE-2007-5960","url":"https://www.cve.org/CVERecord?id=CVE-2007-5960"},{"name":"CVE-2007-5959","url":"https://www.cve.org/CVERecord?id=CVE-2007-5959"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-38 du 26 novembre 2007 :","url":"http://www.mozilla.org/security/announce/2007/mfsa2007-38.html"},{"title":"Mise \u00e0 jour de Netscape Navigator :","url":"http://browser.netscape.com/downloads/"},{"title":"Document du CERTA CERTA-2007-ACT-045 du 09 novembre 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-045.pdf"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-37 du 26 novembre 2007 :","url":"http://www.mozilla.org/security/announce/2007/mfsa2007-37.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-39 du 26 novembre 2007 : http://www.mozilla.org/security/announce/2007/mfsa2007-39.html","url":"http://www.mozilla.org/security/announce/2007/mfsaA2007-39.html"}],"reference":"CERTA-2007-AVI-509","revisions":[{"description":"version initiale ;","revision_date":"2007-11-27T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences \u00e0 Netscape.","revision_date":"2007-11-30T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le navigateur Mozilla\nFirefox. Exploit\u00e9es, elles permettraient \u00e0 une personne malveillante\nd'ex\u00e9cuter du code sur le syst\u00e8me vuln\u00e9rable, ou conduire des attaques\npar injection de code indirecte de type CSRF (Cross-Site Request Forgery) ou XSS.\n","title":"Vuln\u00e9rabilit\u00e9s dans Mozilla Firefox","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Mozilla MFSA du 26 novembre 2007","url":null}]}