Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- élévation de privilèges.
Systèmes affectés
- Firefox versions antérieures à 7.0 ;
- Firefox versions antérieures à 3.6.23 ;
- Thunderbird versions antérieures à 7.0 ;
- SeaMonkey versions antérieures à 2.4.
Résumé
Plusieurs vulnérabilités ont été corrigées dans les produits de la fondation Mozilla, dont certaines permettent l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été corrigées dans les produits de la fondation Mozilla, en particulier :
- des problèmes de corruption mémoire qui pourraient autoriser l'exécution de code arbitraire à distance ;
- une erreur de type débordement d'entier dans une expression javascript ;
- une erreur dans la gestion des cadres permettrait le contournement du cloisonnement des pages dans les plugins ;
- l'installation de code malveillant en incitant l'utilisateur à maintenir enfoncée la touche 'Entrée' ;
- une erreur de type dépassement de tampon dans WebGL ;
- un arrêt inopiné potentiellement exploitable dans une bibliothèque javascript ;
- une vulnérabilité dans la fonction JSSubScript utilisée par certains modules pouvant être exploitée par du contenu web malveillant pour élever ses privilèges ;
- l'exécution de code arbitraire à l'aide d'un fichier .ogg spécialement conçu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-36 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-36.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-37 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-37.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-38 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-38.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-39 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-39.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-40 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-40.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-41 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-41.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-42 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-42.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-43 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-43.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-44 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-44.html
- Bulletin de sécurité de la fondation Mozilla /mfsa2011-45 du 27 septembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-45.html
- Référence CVE CVE-2011-2372 :
https://www.cve.org/CVERecord?id=CVE-2011-2372
- Référence CVE CVE-2011-2995 :
https://www.cve.org/CVERecord?id=CVE-2011-2995
- Référence CVE CVE-2011-2999 :
https://www.cve.org/CVERecord?id=CVE-2011-2999
- Référence CVE CVE-2011-3000 :
https://www.cve.org/CVERecord?id=CVE-2011-3000
- Référence CVE CVE-2011-3001 :
https://www.cve.org/CVERecord?id=CVE-2011-3001
- Référence CVE CVE-2011-3002 :
https://www.cve.org/CVERecord?id=CVE-2011-3002
- Référence CVE CVE-2011-3003 :
https://www.cve.org/CVERecord?id=CVE-2011-3003
- Référence CVE CVE-2011-3004 :
https://www.cve.org/CVERecord?id=CVE-2011-3004
- Référence CVE CVE-2011-3005 :
https://www.cve.org/CVERecord?id=CVE-2011-3005
- Référence CVE CVE-2011-3232 :
https://www.cve.org/CVERecord?id=CVE-2011-3232
