Avis du CERTA : Multiples vulnérabilités dans les produits Mozilla
octobre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance ;
* élévation de privilèges ;
* attaque de type Cross-Site Scripting.
2 Systèmes affectés
* Mozilla Firefox 1.5.0.3 et antérieures ;
* Mozilla Thunderbird 1.5.0.2 et antérieures ;
* Mozilla SeaMonkey 1.0.1 et antérieures ;
* Mozilla 1.7 pour Sun Solaris OS8, OS9 et OS10.
3 Description
De multiples vulnérabilités présentes dans Mozilla Firefox, Thunderbird et
SeaMonkey permettent à un utilisateur mal intentionné de provoquer un déni de
service à distance, d’élever ses privilèges localement, de réaliser une attaque
de type Cross-Site Scripting ou, enfin, d’exécuter du code arbitraire à
distance.
4 Solution
Les versions 1.5.0.4 de Firefox, 1.5.0.4 de Thunderbird et 1.0.2 de SeaMonkey
corrigent le problème :
http://www.mozilla.org/firefox
http://www.mozilla.org/thunderbird
http://www.mozilla.org/seamonkey
5 Documentation
* Bulletin de sécurité Mozilla MFSA-2006-43 :
http://www.mozilla.org/security/announce/2006/mfsa2006-43.html
* Bulletin de sécurité Mozilla MFSA-2006-42 :
http://www.mozilla.org/security/announce/2006/mfsa2006-42.html
* Bulletin de sécurité Mozilla MFSA-2006-41 :
http://www.mozilla.org/security/announce/2006/mfsa2006-41.html
* Bulletin de sécurité Mozilla MFSA-2006-40 :
http://www.mozilla.org/security/announce/2006/mfsa2006-40.html
* Bulletin de sécurité Mozilla MFSA-2006-39 :
http://www.mozilla.org/security/announce/2006/mfsa2006-39.html
* Bulletin de sécurité Mozilla MFSA-2006-38 :
http://www.mozilla.org/security/announce/2006/mfsa2006-38.html
* Bulletin de sécurité Mozilla MFSA-2006-37 :
http://www.mozilla.org/security/announce/2006/mfsa2006-37.html
* Bulletin de sécurité Mozilla MFSA-2006-36 :
http://www.mozilla.org/security/announce/2006/mfsa2006-36.html
* Bulletin de sécurité Mozilla MFSA-2006-35 :
http://www.mozilla.org/security/announce/2006/mfsa2006-35.html
* Bulletin de sécurité Mozilla MFSA-2006-34 :
http://www.mozilla.org/security/announce/2006/mfsa2006-34.html
* Bulletin de sécurité Mozilla MFSA-2006-33 :
http://www.mozilla.org/security/announce/2006/mfsa2006-33.html
* Bulletin de sécurité Mozilla MFSA-2006-32 :
http://www.mozilla.org/security/announce/2006/mfsa2006-32.html
* Bulletin de sécurité Mozilla MFSA-2006-31 :
http://www.mozilla.org/security/announce/2006/mfsa2006-31.html
* Bulletin de sécurité Gentoo GLSA 200606-12 du 11 juin 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200606-12.xml
* Bulletin de sécurité Debian DSA-1118 du 22 juillet 2006 :
http://www.debian.org/security/2006/dsa-1118
* Bulletin de sécurité Debian DSA-1120 du 23 juillet 2006 :
http://www.debian.org/security/2006/dsa-1120
* Bulletin de sécurité Ubuntu USN-297-3 du 26 Juillet 2006 :
http://www.ubuntu.com/usn/usn-297-3
* Bulletin de sécurité Debian DSA-1134 du 02 aout 2006 :
http://www.debian.org/security/2006/dsa-1134
* Bulletin de sécurité Sun 102943 du 11 octobre 2007 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102943-1
* Bulletin de sécurité Redhat RHSA-2006-0611 du 31 juillet 2006 :
http://www.rhn.redhat.com/errata/RHSA-2006-0611.html
* Bulletin de sécurité Redhat RHSA-2006-0610 du 31 juillet 2006 :
http://www.rhn.redhat.com/errata/RHSA-2006-0610.html
* Référence CVE CVE-2006-2775 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2775
* Référence CVE CVE-2006-2776 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2776
* Référence CVE CVE-2006-2778 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2778
* Référence CVE CVE-2006-2779 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2779
* Référence CVE CVE-2006-2780 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2780
* Référence CVE CVE-2006-2781 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2781
* Référence CVE CVE-2006-2783 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2783
* Référence CVE CVE-2006-2784 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2784
* Référence CVE CVE-2006-2787 :