L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Firefox/Seamonkey : multiples vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Firefox/Seamonkey, dont la plus grave permet d'exécuter du code avec les droits de l'utilisateur.
Produits impactés : Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, OpenSolaris, openSUSE, Solaris, RHEL, Slackware, SLES, TurboLinux.
Gravité de ce bulletin : 4/4.
Nombre de vulnérabilités dans ce bulletin : 13.
Date de création : 02/07/2008.
Références de cette menace : 256408, 6786624, BID-30038, CERTA-2002-AVI-200, CERTA-2008-AVI-350, CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2806, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2810, CVE-2008-2811, DSA-1607-1, DSA-1615-1, DSA-1697-1, FEDORA-2008-6127, FEDORA-2008-6193, FEDORA-2008-6196, MDVSA-2008:136, MFSA 2008-20, MFSA 2008-21, MFSA 2008-22, MFSA 2008-23, MFSA 2008-24, MFSA 2008-25, MFSA 2008-26, MFSA 2008-27, MFSA 2008-28, MFSA 2008-29, MFSA 2008-30, MFSA 2008-31, MFSA 2008-32, MFSA 2008-33, RHSA-2008:0547-01, RHSA-2008:0549-01, RHSA-2008:0569-01, SSA:2008-191-01, SSA:2008-191-03, SUSE-SA:2008:034, TLSA-2008-25, VIGILANCE-VUL-7923, VU#607267.

Description de la vulnérabilité 

Plusieurs vulnérabilités de Firefox/Seamonkey ont été annoncées.

Un attaquant peut corrompre la mémoire afin de faire exécuter du code. [grav:4/4; CERTA-2008-AVI-350, CVE-2008-2798, CVE-2008-2799, MFSA 2008-21]

Un attaquant peut provoquer un Cross Site Scripting via JavaScript. [grav:3/4; CVE-2008-2800, MFSA 2008-22]

Un attaquant peut inciter la victime à employer une version modifiée d'une archive JAR signée. [grav:3/4; CVE-2008-2801, MFSA 2008-23]

Un attaquant peut faire exécuter un script Chrome via un fichier "fastload". [grav:4/4; CVE-2008-2802, MFSA 2008-24]

Un attaquant peut faire exécuter du code via mozIJSSubScriptLoader.loadSubScript(). [grav:4/4; CVE-2008-2803, MFSA 2008-25]

Plusieurs fonctions MIME gèrent incorrectement les buffers, ce qui peut conduire à des débordements. [grav:1/4; MFSA 2008-26]

Un attaquant peut uploader un fichier via "originalTarget" et "DOM Range". [grav:3/4; CVE-2008-2805, MFSA 2008-27]

Sous Mac OS X, un attaquant peut se connecter à des sockets via Java LiveConnect. [grav:3/4; CVE-2008-2806, MFSA 2008-28]

Un fichier ".properties" malformé provoque l'utilisation de mémoire non initialisée. [grav:2/4; CVE-2008-2807, MFSA 2008-29]

Les urls de type "file:" situées dans les listings de répertoires ne sont pas échappées correctement. [grav:4/4; CVE-2008-2808, MFSA 2008-30]

Le nom alternatif des certificats peut être utilisé pour usurper un site (VIGILANCE-VUL-7351). [grav:1/4; CVE-2008-2809, MFSA 2008-31]

Les raccourcis Windows indiquant une url distante sont traités dans un contexte local. [grav:2/4; CVE-2008-2810, MFSA 2008-32]

Un attaquant peut exécuter du code lorsqu'un bloc est redessiné. [grav:4/4; CVE-2008-2811, MFSA 2008-33, VU#607267]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de faille concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, OpenSolaris, openSUSE, Solaris, RHEL, Slackware, SLES, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace cyber-sécurité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 13 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité informatique.

Solutions pour cette menace 

Firefox : version 2.0.0.15.
La version 2.0.0.15 est corrigée :
  http://www.mozilla.com/firefox/all-older.html

SeaMonkey : version 1.1.10.
La version 1.1.10 est corrigée :
  http://www.seamonkey-project.org/

Debian : nouveaux paquetages iceape.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/i/iceape/*_1.0.13~pre080614i-0etch1_*.deb

Debian : nouveaux paquetages iceweasel.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/i/iceweasel/*_2.0.0.15-0etch1_*.deb

Debian : nouveaux paquetages xulrunner.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/x/xulrunner/*_1.8.0.15~pre080614d-0etch1_*.deb

Fedora 8 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  blam-1.8.3-16.fc8
  chmsee-1.0.0-2.31.fc8
  devhelp-0.16.1-8.fc8
  epiphany-2.20.3-5.fc8
  epiphany-extensions-2.20.1-8.fc8
  firefox-2.0.0.15-1.fc8
  galeon-2.0.4-3.fc8.3
  gnome-python2-extras-2.19.1-15.fc8
  gnome-web-photo-0.3-11.fc8
  gtkmozembedmm-1.4.2.cvs20060817-21.fc8
  kazehakase-0.5.4-2.fc8.2
  liferea-1.4.15-2.fc8
  Miro-1.2.3-2.fc8
  openvrml-0.17.6-3.fc8
  ruby-gnome2-0.17.0-0.2.rc1.fc8
  yelp-2.20.0-10.fc8

Fedora : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  seamonkey-1.1.10-1.fc8
  seamonkey-1.1.10-1.fc9

Mandriva : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2008.0:
  devhelp-0.16-1.6mdv2008.0
  eclipse-3.3.0-0.20.8.6mdv2008.0
  epiphany-2.20.0-1.6mdv2008.0
  galeon-2.0.3-7.6mdv2008.0
  gnome-python-extras-2.19.1-4.6mdv2008.0
  mozilla-firefox-2.0.0.15-1.1mdv2008.0
  mozilla-firefox-ext-blogrovr-1.1.779-2mdv2008.0
  mozilla-firefox-ext-foxmarks-2.0.47.4-2mdv2008.0
  mozilla-firefox-ext-scribefire-2.2.7-2mdv2008.0
  mozilla-firefox-l10n-2.0.0.15-1mdv2008.0
  totem-2.20.1-1.5mdv2008.0
  yelp-2.20.0-3.5mdv2008.0
Mandriva Linux 2008.1:
  devhelp-0.19-3.2mdv2008.1
  epiphany-2.22.0-4.2mdv2008.1
  galeon-2.0.4-3.2mdv2008.1
  gluezilla-1.2.6.1-2.2mdv2008.1
  gnome-python-extras-2.19.1-10.2mdv2008.1
  mozilla-firefox-2.0.0.15-1.1mdv2008.1
  mozilla-firefox-ext-blogrovr-1.1.779-2mdv2008.1
  mozilla-firefox-ext-foxmarks-2.0.47.4-2mdv2008.1
  mozilla-firefox-ext-scribefire-2.2.7-2mdv2008.1
  mozilla-firefox-l10n-2.0.0.15-1mdv2008.1
  mozilla-firefox-theme-gnome-2.0.0-7mdv2008.1
  mozilla-firefox-theme-kdeff-0.4-7mdv2008.1
  totem-2.22.0-4.2mdv2008.1
  yelp-2.22.0-2.2mdv2008.1
Corporate 3.0:
  mozilla-firefox-2.0.0.15-0.1.C30mdk
  mozilla-firefox-l10n-2.0.0.15-0.1.C30mdk
Corporate 4.0:
  mozilla-firefox-l10n-2.0.0.15-0.1.20060mlcs4

RHEL 2.1, 3, 4 : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1 : seamonkey-1.0.9-0.17.el2
Red Hat Enterprise Linux version 3: seamonkey-1.0.9-0.20.el3
Red Hat Enterprise Linux version 4: seamonkey-1.0.9-16.3.el4_6

RHEL 4 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: firefox-1.5.0.12-0.19.el4

RHEL 5 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 5 :
  devhelp-0.12-17.el5
  firefox-3.0-2.el5
  xulrunner-1.9-1.el5
  yelp-2.16.0-19.el5

Slackware : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
Slackware 10.2:
ftp://ftp.slackware.com/pub/slackware/slackware-10.2/patches/packages/mozilla-firefox-2.0.0.15-i686-1.tgz
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/mozilla-firefox-2.0.0.15-i686-1.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/mozilla-firefox-2.0.0.15-i686-1.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/mozilla-firefox-2.0.0.15-i686-1.tgz

Slackware : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/seamonkey-1.1.10-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/seamonkey-1.1.10-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/seamonkey-1.1.10-i486-1_slack12.1.tgz

Solaris : patch pour Firefox.
Un patch est disponible :
SPARC Platform
  Solaris 10 : patch 125539-06
  OpenSolaris : build snv_95
x86 Platform
  Solaris 10 : patch 125540-06
  OpenSolaris : build snv_95

SUSE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles.

Turbolinux : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Turbolinux 11 Server : firefox-2.0.0.15-1
Turbolinux FUJI : firefox-2.0.0.15-1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilités de réseaux. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.