L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Firefox/Seamonkey/Thunderbird : multiples vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Firefox/Seamonkey/Thunderbird, dont la plus grave permet d'exécuter du code avec les droits de l'utilisateur.
Logiciels impactés : Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, Thunderbird, OpenSolaris, Solaris, RHEL, Slackware, SLES, TurboLinux.
Gravité de cette vulnérabilité informatique : 4/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date de création : 16/07/2008.
Références de cette annonce : 256408, 440230, 441120, 441169, 441360, 5031400, 6786624, BID-30242, BID-30244, BID-30266, CERTA-2002-AVI-189, CERTA-2008-AVI-368, CERTA-2008-AVI-376, CVE-2008-2785, CVE-2008-2933, CVE-2008-2934, CVE-2008-3198, DSA-1614-1, DSA-1615-1, DSA-1621-1, DSA-1697-1, FEDORA-2008-6491, FEDORA-2008-6517, FEDORA-2008-6518, FEDORA-2008-6519, FEDORA-2008-6706, FEDORA-2008-6737, MDVSA-2008:148, MDVSA-2008:155, MDVSA-2008:155-1, MFSA 2008-34, MFSA 2008-35, MFSA 2008-36, RHSA-2008:0597-01, RHSA-2008:0598-02, RHSA-2008:0599-01, RHSA-2008:0616-01, SSA:2008-198-01, SSA:2008-198-02, SSA:2008-210-05, TLSA-2008-28, TLSA-2008-30, VIGILANCE-VUL-7948, VU#130923, ZDI-08-044.

Description de la vulnérabilité 

Plusieurs vulnérabilités de Firefox/Seamonkey/Thunderbird ont été annoncées.

Un attaquant peut créer une page HTML utilisant de nombreuses références à un objet CSS (nsCSSValue:Array), afin de provoquer un débordement conduisant à l'exécution de code. [grav:4/4; 440230, CERTA-2008-AVI-376, CVE-2008-2785, MFSA 2008-34, ZDI-08-044]

Lorsque Firefox n'est pas en cours d'exécution, et que la victime clique sur un uri "file:" ou "chrome:" pour démarrer Firefox, l'attaquant peut accéder à un script ou un document chrome local, ce qui conduit à l'exécution de code. [grav:3/4; 441120, 441169, BID-30242, BID-30244, CVE-2008-2933, CVE-2008-3198, MFSA 2008-35, VU#130923]

Sous Mac OS X, une image GIF peut corrompre la mémoire afin de faire exécuter du code. [grav:4/4; 441360, BID-30266, CERTA-2008-AVI-368, CVE-2008-2934, MFSA 2008-36]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cybersécurité concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, Thunderbird, OpenSolaris, Solaris, RHEL, Slackware, SLES, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace sécurité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 3 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce sécurité.

Solutions pour cette menace 

Firefox : version 3.0.1.
La version 3.0.1 est corrigée :
  http://www.mozilla.com/en-US/firefox/all.html

Firefox : version 2.0.0.16.
La version 2.0.0.16 est corrigée :
  http://www.mozilla.com/en-US/firefox/all-older.html

Seamonkey : version 1.1.11.
La version 1.1.11 est corrigée :
  http://www.seamonkey-project.org/releases/

Thunderbird : version 2.0.0.16.
La version 2.0.0.16 est corrigée :
  http://www.mozilla.com/en-US/thunderbird/all.html

Debian : nouveaux paquetages iceape.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/i/iceape/*_1.0.13~pre080614i-0etch1_*.deb

Debian : nouveaux paquetages icedove.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/i/icedove/icedove*_1.5.0.13+1.5.0.15b.dfsg1+prepatch080614d-0etch1_*.deb

Debian : nouveaux paquetages iceweasel.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel*_2.0.0.16-0etch1_*.deb

Debian : nouveaux paquetages xulrunner.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/x/xulrunner/*_1.8.0.15~pre080614d-0etch1_*.deb

Fedora 8 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles.

Fedora 9 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles.

Fedora : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
thunderbird-2.0.0.16-1.fc8
thunderbird-2.0.0.16-1.fc9

Mandriva : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2008.0:
  devhelp-0.16-1.7mdv2008.0
  eclipse-3.3.0-0.20.8.7mdv2008.0
  epiphany-2.20.0-1.7mdv2008.0
  galeon-2.0.3-7.7mdv2008.0
  gnome-python-extras-2.19.1-4.7mdv2008.0
  mozilla-firefox-2.0.0.16-1.1mdv2008.0
  mozilla-firefox-ext-blogrovr-1.1.779-2.1mdv2008.0
  mozilla-firefox-ext-foxmarks-2.0.47.4-2.1mdv2008.0
  mozilla-firefox-ext-scribefire-2.2.7-2.1mdv2008.0
  mozilla-firefox-l10n-2.0.0.16-1.1mdv2008.0
  totem-2.20.1-1.6mdv2008.0
  yelp-2.20.0-3.6mdv2008.0
Mandriva Linux 2008.1:
  devhelp-0.19-3.3mdv2008.1
  epiphany-2.22.0-4.3mdv2008.1
  galeon-2.0.4-3.3mdv2008.1
  gluezilla-1.2.6.1-2.3mdv2008.1
  gnome-python-extras-2.19.1-10.3mdv2008.1
  mozilla-firefox-2.0.0.16-1.1mdv2008.1
  mozilla-firefox-ext-blogrovr-1.1.779-2.1mdv2008.1
  mozilla-firefox-ext-foxmarks-2.0.47.4-2.1mdv2008.1
  mozilla-firefox-ext-scribefire-2.2.7-2.1mdv2008.1
  mozilla-firefox-l10n-2.0.0.16-1.1mdv2008.1
  mozilla-firefox-theme-gnome-2.0.0-7.1mdv2008.1
  mozilla-firefox-theme-kdeff-0.4-7.1mdv2008.1
  totem-2.22.0-4.3mdv2008.1
  yelp-2.22.0-2.3mdv2008.1
Corporate 3.0:
  mozilla-firefox-2.0.0.16-0.1.C30mdk
  mozilla-firefox-l10n-2.0.0.16-0.1.C30mdk
Corporate 4.0:
  mozilla-firefox-2.0.0.16-0.1.20060mlcs4
  mozilla-firefox-l10n-2.0.0.16-0.1.20060mlcs4

Mandriva : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2008.0:
  mozilla-thunderbird-2.0.0.16-1mdv2008.0
  mozilla-thunderbird-l10n-2.0.0.16-1mdv2008.0
  mozilla-thunderbird-moztraybiff-1.2.3-4.1mdv2008.0
  mozilla-thunderbird-enigmail-l10n-2.0.0.16-1mdv2008.0
Mandriva Linux 2008.1:
  mozilla-thunderbird-2.0.0.16-1mdv2008.1
  mozilla-thunderbird-l10n-2.0.0.16-1mdv2008.1
  mozilla-thunderbird-moztraybiff-1.2.3-4.1mdv2008.1
  mozilla-thunderbird-enigmail-l10n-2.0.0.16-1mdv2008.1
 Corporate 3.0:
  mozilla-thunderbird-enigmail-l10n-2.0.0.16-0.1.C30mdk
  mozilla-thunderbird-l10n-2.0.0.16-0.1.C30mdk

RHEL 2.1, 3, 4 : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1 :
  seamonkey-1.0.9-0.18.el2
Red Hat Enterprise Linux version 3:
  seamonkey-1.0.9-0.22.el3
Red Hat Enterprise Linux version 4:
  devhelp-0.10-0.8.1.el4
  seamonkey-1.0.9-16.4.el4_6

RHEL 4, 5 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: thunderbird-1.5.0.12-14.el4
Red Hat Enterprise Linux version 5: thunderbird-2.0.0.16-1.el5

RHEL 4 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: firefox-1.5.0.12-0.21.el4

RHEL 5 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 5 :
  devhelp-0.12-18.el5
  firefox-3.0.1-1.el5
  xulrunner-1.9.0.1-1.el5
  yelp-2.16.0-20.el5

Slackware : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
Slackware 10.2:
ftp://ftp.slackware.com/pub/slackware/slackware-10.2/patches/packages/mozilla-firefox-2.0.0.16-i686-1.tgz
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/mozilla-firefox-2.0.0.16-i686-1.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/mozilla-firefox-2.0.0.16-i686-1.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/mozilla-firefox-2.0.0.16-i686-1.tgz

Slackware : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
Slackware 10.2:
ftp://ftp.slackware.com/pub/slackware/slackware-10.2/patches/packages/mozilla-thunderbird-2.0.0.16-i686-1.tgz
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/mozilla-thunderbird-2.0.0.16-i686-1.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/mozilla-thunderbird-2.0.0.16-i686-1.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/mozilla-thunderbird-2.0.0.16-i686-1.tgz

Slackware : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/seamonkey-1.1.11-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/seamonkey-1.1.11-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/seamonkey-1.1.11_slack12.1.tgz

Solaris : patch pour Firefox.
Un patch est disponible :
SPARC Platform
  Solaris 10 : patch 125539-06
  OpenSolaris : build snv_95
x86 Platform
  Solaris 10 : patch 125540-06
  OpenSolaris : build snv_95

SuSE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
MozillaFirefox*-2.0.0.16-0.4.i586.rpm

Turbolinux : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Turbolinux 11 Server x64 Edition : firefox-2.0.0.16-1
Turbolinux 11 Server : firefox-2.0.0.16-1
Turbolinux FUJI : firefox-2.0.0.16-1

TurboLinux : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
thunderbird-2.0.0.16-1.i686.rpm
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilités informatiques. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.