Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Firefox 3.0.x et 3.5.x.

Résumé

Plusieurs vulnérabilités affectent le navigateur Firefox et permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités affectent le navigateur Firefox :

  • la différence de traitement des noms d'hôtes contenant un caractère null illégal par les autorités de certification, lors de la demande de certificat par le serveur, et par le navigateur, lors de l'établissement d'une session SSL, permet à un utilisateur malveillant de lire ou de modifier des données dans une transaction sécurisée par SSL. Cette vulnérabilité permet à utilisateur malveillant d'exécuter du code arbitraire à distance au travers du système de mise à jour ;
  • le traitement d'expression régulière dans les certificats de clefs publiques restait compatible avec celui des navigateurs Netscape. Ce traitement laxiste permet à un utilisateur malveillant d'exécuter du code arbitraire à distance en présentant au navigateur un certificat spécialement conçu ;
  • le contenu de la barre d'adresse peut ne pas être conforme au contenu de la fenêtre principale. Cette vulnérabilité permet à un utilisateur malveillant de contourner la politique de sécurité en trompant l'utilisateur sur l'identité du site sur lequel il navigue.

Solution

Les versions 3.5.2 et 3.0.13 corrigent ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation