L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

menace CVE-2014-1533 CVE-2014-1534 CVE-2014-1536

Firefox, Thunderbird, SeaMonkey : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Firefox, Thunderbird et SeaMonkey.
Gravité de cette menace : 4/4.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 10/06/2014.
Références de cette faille : CERTFR-2014-AVI-270, CVE-2014-1533, CVE-2014-1534, CVE-2014-1536, CVE-2014-1537, CVE-2014-1538, CVE-2014-1539, CVE-2014-1540, CVE-2014-1541, CVE-2014-1542, CVE-2014-1543, DSA-2955-1, DSA-2960-1, FEDORA-2014-7279, FEDORA-2014-7310, FEDORA-2014-7325, FEDORA-2014-7682, FEDORA-2014-7690, MFSA 2014-48, MFSA 2014-49, MFSA 2014-50, MFSA 2014-51, MFSA 2014-52, MFSA 2014-53, MFSA 2014-54, openSUSE-SU-2014:0797-1, openSUSE-SU-2014:0819-1, openSUSE-SU-2014:0855-1, openSUSE-SU-2014:0858-1, openSUSE-SU-2014:1100-1, RHSA-2014:0741-01, RHSA-2014:0742-01, SSA:2014-163-01, SSA:2014-175-05, SUSE-SU-2014:0824-1, SUSE-SU-2014:0824-2, SUSE-SU-2014:0824-3, SUSE-SU-2014:0905-1, USN-2243-1, USN-2250-1, VIGILANCE-VUL-14870.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Firefox, Thunderbird et SeaMonkey.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1533, CVE-2014-1534, MFSA 2014-48]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Address Sanitizer, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1536, CVE-2014-1537, CVE-2014-1538, MFSA 2014-49]

Un attaquant peut provoquer un Clickjacking sous OS X, afin de tromper la victime. [grav:2/4; CVE-2014-1539, MFSA 2014-50]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Event Listener Manager, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1540, MFSA 2014-51]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans SMIL Animation Controller, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1541, MFSA 2014-52]

Un attaquant peut provoquer un buffer overflow dans Web Audio Speex Resampler, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1542, MFSA 2014-53]

Un attaquant peut provoquer un buffer overflow dans Gamepad API, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-1543, MFSA 2014-54]

Un attaquant peut donc inviter la victime à consulter un site illicite, afin par exemple de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette annonce cyber-sécurité concerne les logiciels ou systèmes comme Debian, Fedora, Firefox, SeaMonkey, Thunderbird, openSUSE, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 7 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité.

Solutions pour cette menace

Firefox : version 30.
La version 30 est corrigée :
  http://www.mozilla.org/en-US/firefox/all/

Firefox : version 24.6 ESR.
La version 24.6 ESR est corrigée :
  http://www.mozilla.org/en-US/firefox/organizations/all/

Thunderbird : version 24.6.
La version 24.6 est corrigée :
  http://www.mozilla.org/en-US/thunderbird/

SeaMonkey : version 2.26.1.
La version 2.26.1 est corrigée :
  http://www.seamonkey-project.org/releases/

Debian : nouveaux paquetages icedove.
De nouveaux paquetages sont disponibles :
  Debian 7 : icedove 24.6.0-1

Debian : nouveaux paquetages iceweasel.
De nouveaux paquetages sont disponibles :
  Debian 7 : iceweasel 24.6.0esr-1~deb7u1

Fedora 20 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Fedora 20 : thunderbird 24.6.0-1.fc20

Fedora : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Fedora 19 : firefox 30.0-4.fc19
  Fedora 20 : firefox 30.0-4.fc20

Fedora : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  Fedora 19 : seamonkey 2.26.1-1.fc19
  Fedora 20 : seamonkey 2.26.1-1.fc20

Fedora : nouveaux paquetages xulrunner.
De nouveaux paquetages sont disponibles :
  Fedora 19 : xulrunner 30.0-1.fc19
  Fedora 20 : xulrunner 30.0-1.fc20

openSUSE 11.4 : nouveaux paquetages Mozilla.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : MozillaFirefox 24.6.0-115.1, MozillaThunderbird 24.6.0-97.1, nspr 4.10.6-44.1

openSUSE 11.4 : nouveaux paquetages MozillaFirefox (09/09/2014).
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : MozillaFirefox 24.8.0-127.1

openSUSE : nouveaux paquetages Mozilla.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : MozillaFirefox 30.0-1.68.1, mozilla-nspr 4.10.6-1.30.1, mozilla-nss 3.16-1.39.1
  openSUSE 13.1 : MozillaFirefox 30.0-29.1, mozilla-nspr 4.10.6-12.1, mozilla-nss 3.16-23.1

openSUSE : nouveaux paquetages MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : MozillaThunderbird 24.6.0-61.51.3
  openSUSE 13.1 : MozillaThunderbird 24.6.0-70.23.3

openSUSE : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : seamonkey 2.26.1-1.53.3
  openSUSE 13.1 : seamonkey 2.26.1-28.3

RHEL : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  RHEL 5 : firefox 24.6.0-1.el5_10
  RHEL 6 : firefox 24.6.0-1.el6_5
  RHEL 7 : firefox 24.6.0-1.el7_0

RHEL : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  RHEL 5 : thunderbird 24.6.0-1.el5_10
  RHEL 6 : thunderbird 24.6.0-1.el6_5

Slackware : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : mozilla-thunderbird 24.6.0-i486-1_slack14.1

Slackware : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : seamonkey 2.26.1-i486-1_slack14.0
  Slackware 14.1 : seamonkey 2.26.1-i486-1_slack14.1

SUSE LE : nouveaux paquetages Mozilla.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : MozillaFirefox 24.6.0esr-0.5.2, mozilla-nspr 4.10.6-0.5.1, mozilla-nss 3.16.1-0.5.1
  SUSE LE 11 : MozillaFirefox 24.6.0esr-0.8.1, mozilla-nspr 4.10.6-0.3.1, mozilla-nss 3.16.1-0.8.1

Ubuntu : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : firefox 30.0+build1-0ubuntu0.14.04.3
  Ubuntu 13.10 : firefox 30.0+build1-0ubuntu0.13.10.3
  Ubuntu 12.04 LTS : firefox 30.0+build1-0ubuntu0.12.04.3

Ubuntu : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : thunderbird 1:24.6.0+build1-0ubuntu0.14.04.1
  Ubuntu 13.10 : thunderbird 1:24.6.0+build1-0ubuntu0.13.10.1
  Ubuntu 12.04 LTS : thunderbird 1:24.6.0+build1-0ubuntu0.12.04.1
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un correctif de vulnérabilité informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.