Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- Versions antérieures à Firefox 12.0 ;
- versions antérieures à Firefox ESR 10.0.4 ;
- versions antérieures à Thunderbird 12.0 ;
- versions antérieures à Thunderbird ESR 10.0.4 ;
- versions antérieures à SeaMonkey 2.9.
Résumé
Quatorze vulnérabilités ont été corrigées dans les produits Mozilla. La majorité permettent d'exécuter du code arbitraire à distance. Trois permettent de contourner des protections contre les attaques par « injection de code indirecte à distance » (XSS). Enfin, une vulnérabilité permet d'obtenir le nom de fichiers utilisés par l'application.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla mfsa2012-20 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-20.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-22 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-22.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-23 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-23.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-24 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-24.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-25 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-25.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-26 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-26.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-27 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-27.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-28 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-28.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-29 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-29.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-30 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-30.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-31 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-31.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-32 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-32.html
- Bulletin de sécurité de la fondation Mozilla mfsa2012-33 du 24 avril 2012 :
http://www.mozilla.org/security/announce/2012/mfsa2012-33.html
- Référence CVE CVE-2011-1187 :
https://www.cve.org/CVERecord?id=CVE-2011-1187
- Référence CVE CVE-2011-3062 :
https://www.cve.org/CVERecord?id=CVE-2011-3062
- Référence CVE CVE-2012-0467 :
https://www.cve.org/CVERecord?id=CVE-2012-0467
- Référence CVE CVE-2012-0468 :
https://www.cve.org/CVERecord?id=CVE-2012-0468
- Référence CVE CVE-2012-0469 :
https://www.cve.org/CVERecord?id=CVE-2012-0469
- Référence CVE CVE-2012-0470 :
https://www.cve.org/CVERecord?id=CVE-2012-0470
- Référence CVE CVE-2012-0471 :
https://www.cve.org/CVERecord?id=CVE-2012-0471
- Référence CVE CVE-2012-0472 :
https://www.cve.org/CVERecord?id=CVE-2012-0472
- Référence CVE CVE-2012-0473 :
https://www.cve.org/CVERecord?id=CVE-2012-0473
- Référence CVE CVE-2012-0474 :
https://www.cve.org/CVERecord?id=CVE-2012-0474
- Référence CVE CVE-2012-0475 :
https://www.cve.org/CVERecord?id=CVE-2012-0475
- Référence CVE CVE-2012-0477 :
https://www.cve.org/CVERecord?id=CVE-2012-0477
- Référence CVE CVE-2012-0478 :
https://www.cve.org/CVERecord?id=CVE-2012-0478
- Référence CVE CVE-2012-0479 :
https://www.cve.org/CVERecord?id=CVE-2012-0479