L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de vulnérabilité informatique CVE-2011-1187 CVE-2011-3062 CVE-2012-0467

Firefox, Thunderbird, SeaMonkey : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Firefox, Thunderbird et SeaMonkey permettent à un attaquant d'exécuter du code sur la machine de la victime.
Logiciels impactés : Debian, Fedora, MES, Mandriva Linux, Firefox, SeaMonkey, Thunderbird, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité de cette vulnérabilité informatique : 4/4.
Conséquences d'un hack : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Origine de l'attaquant : document.
Nombre de vulnérabilités dans ce bulletin : 14.
Date création : 25/04/2012.
Références de cette annonce : BID-53218, BID-53219, BID-53220, BID-53221, BID-53222, BID-53223, BID-53224, BID-53225, BID-53227, BID-53228, BID-53229, BID-53230, BID-53231, CERTA-2012-AVI-234, CVE-2011-1187, CVE-2011-3062, CVE-2012-0467, CVE-2012-0468, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0475, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479, DSA-2457-1, DSA-2457-2, DSA-2464-1, DSA-2464-2, DSA-2548-1, FEDORA-2012-6610, FEDORA-2012-6622, FEDORA-2012-6738, MDVSA-2012:066, MDVSA-2012:081, MFSA 2012-20, MFSA 2012-21, MFSA 2012-22, MFSA 2012-23, MFSA 2012-24, MFSA 2012-25, MFSA 2012-26, MFSA 2012-27, MFSA 2012-28, MFSA 2012-29, MFSA 2012-30, MFSA 2012-31, MFSA 2012-32, MFSA 2012-33, openSUSE-SU-2012:0567-1, openSUSE-SU-2014:1100-1, RHSA-2012:0515-01, RHSA-2012:0516-01, SUSE-SU-2012:0580-1, SUSE-SU-2012:0688-1, VIGILANCE-VUL-11566.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Firefox, Thunderbird et SeaMonkey.

Plusieurs corruptions de mémoire conduisent à l'exécution de code. [grav:4/4; BID-53221, BID-53223, CVE-2012-0467, CVE-2012-0468, MFSA 2012-20]

Firefox Mobile est impacté par les vulnérabilités de FreeType (VIGILANCE-VUL-11407). [grav:3/4; MFSA 2012-21]

Un attaquant peut provoquer une utilisation de mémoire libérée dans IDBKeyRange, ce qui conduit à l'exécution de code. [grav:4/4; BID-53220, CVE-2012-0469, MFSA 2012-22]

Un attaquant peut provoquer une libération de mémoire invalide dans gfxImageSurface, ce qui conduit à l'exécution de code. [grav:4/4; BID-53225, CVE-2012-0470, MFSA 2012-23]

Un attaquant peut employer des caractères multi-octets, afin de provoquer un Cross Site Scripting. [grav:2/4; BID-53219, CVE-2012-0471, MFSA 2012-24]

Un attaquant peut employer une police de caractères illicite, afin de provoquer une corruption de mémoire dans cairo-dwrite, qui conduit à l'exécution de code. [grav:4/4; BID-53218, CVE-2012-0472, MFSA 2012-25]

Un attaquant peut employer WebGL.drawElements FindMaxUshortElement, afin de lire la mémoire. [grav:3/4; BID-53231, CVE-2012-0473, MFSA 2012-26]

Un attaquant peut provoquer un Cross Site Scripting lors du chargement d'une page. [grav:2/4; BID-53228, CVE-2012-0474, MFSA 2012-27]

Dans certaines configurations IPv6, le navigateur web envoie des informations d'origine invalides au serveur. [grav:1/4; BID-53230, CVE-2012-0475, MFSA 2012-28]

Un attaquant peut provoquer un Cross Site Scripting via ISO-2022-KR/ISO-2022-CN. [grav:2/4; BID-53229, CVE-2012-0477, MFSA 2012-29]

Un attaquant peut employer WebGL texImage2D JSVAL_TO_OBJECT, afin de corrompre la mémoire, ce qui conduit à l'exécution de code. [grav:4/4; BID-53227, CVE-2012-0478, MFSA 2012-30]

Un attaquant peut provoquer un débordement d'un octet dans OpenType Sanitizer, qui pourrait conduire à l'exécution de code. [grav:4/4; BID-53222, CVE-2011-3062, MFSA 2012-31]

Un attaquant peut employer une redirection HTTP, afin de provoquer des erreurs JavaScript, qui lui permettent d'obtenir des informations. [grav:2/4; CERTA-2012-AVI-234, CVE-2011-1187, MFSA 2012-32]

Un attaquant peut employer un fil RSS/Atom, afin d'usurper l'identité d'un site. [grav:2/4; BID-53224, CVE-2012-0479, MFSA 2012-33]
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilités informatiques. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.