Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Firefox versions 3.5.x antérieures à 3.5.6 ;
  • Firefox versions 3.0.x antérieures à 3.0.16 ;
  • Seamonkey versions antérieures à 2.0.1.

Résumé

De multiples vulnérabilités dans Firefox permettent l'exécution de code arbitraire à distance.

Description

De multiples vulnérabilités ont été découvertes dans Firefox :

  • plusieurs problèmes de stabilité affectent le moteur du navigateur. Certains mènent à une corruption de la mémoire et permettent l'exécution de code arbitraire à distance ;
  • des failles dans liboggplay permettent l'exécution de code arbitraire à distance ;
  • une vulnérabilité de type débordement d'entier dans libtheora permet l'exécution de code arbitraire à distance. Un autre problème dans cette bibliothèque peut être exploité pour provoquer un déni de service à distance ;
  • l'implémentation Mozilla de NTLM permet de rejouer les identifiants de connexion d'une application à une autre via le navigateur ;
  • un problème dans la gestion des codes retour 204 peut leurrer un utilisateur en lui donnant l'illusion qu'il est sur une page sécurisée alors que ce n'est pas le cas. Une vulnérabilité similaire permet d'injecter du code dans une page vide ;
  • du code Javascript peut être exécuté par l'intermédiaire de la fenêtre chrome ;
  • les messages d'exception engendrés par GeckoActiveXObject varient en fonction des identifiants ProgID d'objets COM présents dans le registre du système. Un site malveillant peut obtenir la liste des objets COM installés sur le système de l'internaute.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation