Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Firefox, versions 3.6.x, 3.5.x, 3.0.x.

Résumé

De multiples vulnérabilités affectent Firefox dont les plus importantes permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance sur le système vulnérable.

Description

Plusieurs vulnérabilités affectent Firefox :

  • dans certaines circonstances, le navigateur s'arrête de manière inopinée, permettant à un attaquant de provoquer un déni de service à distance ;
  • plusieurs défauts dans l'allocation de la mémoire et dans la gestion des pointeurs permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
  • la possibilité pour une applette de détourner des clics de souris permet à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
  • un défaut dans l'extension Firebug permet à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
  • un défaut dans le traitement du protocole SSL permet à un utilisateur distant de contourner la politique de sécurité ;
  • la présence d'un lien mailto: dans un objet image provoque le lancement du client de messagerie. L'impact est un désagrément ;
  • des vérifications omises pendant le traitement de documents XML peuvent conduire au chargement d'objets non permis par la politique de sécurité.

Solution

Les versions Firefox 3.6.2 et 3.5.9 remédient à toutes les vulnérabilités.

La version 3.0.19 remédie aux vulnérabités sauf les deux dernières. La branche 3.0 n'étant désormais plus maintenue, la migration vers les branches 3.5 ou 3.6 offre une solution de plus long terme.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation