Risque
- Exécution de code arbitraire à distance ;
- élévation de privilèges ;
- injection de code indirecte à distance.
Systèmes affectés
- Firefox versions antérieures à 8.0 ;
- Firefox versions antérieures à 3.6.24 ;
- Thunderbird versions antérieures à 8.0 ;
- Thunderbird versions antérieures à 3.1.16.
Résumé
De multiples vulnérabilités ont été corrigées dans les produits de la fondation Mozilla, dont quatre sont considérées comme critiques.
Description
De multiples vulnérabilités ont été corrigées dans les produits de la fondation Mozilla:
- mfsa2011-46 : vulnérabilité dans la fonction JSSubScript utilisée par certains modules pouvant être exploitée par du contenu Web malveillant pour élever ses privilèges (cette vulnérabilité a déjà été corrigée dans les branches principales des produits, mais est maintenant également corrigée dans Firefox 3.6.24 et Thunderbird 3.1.16) ;
- mfsa2011-47 : vulnérabilité dans le traitement de données codées en Shift-JIS, pouvant être exploitée pour injecter du code indirectement à distance (XSS) ;
- mfsa2011-48 : plusieurs vulnérabilités dans le moteur de navigation, dont certaines pourraient conduire à une corruption de la mémoire et permettre d'exécuter du code arbitraire à distance dans des circonstances particulières ;
- mfsa2011-49 : arrêt inopiné de Firebug dans le traitement d'un fichier Javascript spécialement conçu ;
- mfsa2011-50 : Problème de confidentialité des données dans l'utilisation de l'accélération graphique Windows D2D ;
- mfsa2011-51 : problème dans les pilotes graphiques sur MacOS X qui peut être exploité par un site Web spécialement conçu pour lire des données antérieures du navigateur ;
- mfsa2011-52 : Vulnérabilité dans NoWaiverWrappers pouvant être exploitée pour une élévation des privilèges.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-46 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-46.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-47 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-47.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-48 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-48.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-49 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-49.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-50 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-50.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-51 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-51.html
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-52 du 08 novembre 2011 :
http://www.mozilla.org/security/announce/2011/mfsa2011-52.html
- Référence CVE CVE-2011-3647 :
https://www.cve.org/CVERecord?id=CVE-2011-3647
- Référence CVE CVE-2011-3648 :
https://www.cve.org/CVERecord?id=CVE-2011-3648
- Référence CVE CVE-2011-3649 :
https://www.cve.org/CVERecord?id=CVE-2011-3649
- Référence CVE CVE-2011-3650 :
https://www.cve.org/CVERecord?id=CVE-2011-3650
- Référence CVE CVE-2011-3651 :
https://www.cve.org/CVERecord?id=CVE-2011-3651
- Référence CVE CVE-2011-3653 :
https://www.cve.org/CVERecord?id=CVE-2011-3653
- Référence CVE CVE-2011-3655 :
https://www.cve.org/CVERecord?id=CVE-2011-3655
