L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Firefox, Thunderbird, SeaMonkey : multiples vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités de Firefox, Thunderbird et SeaMonkey permettent à un attaquant d'obtenir des informations, de mener un déni de service ou d'exécuter du code sur la machine de la victime.
Systèmes vulnérables : Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, Thunderbird, openSUSE, RHEL, Slackware, SLES, TurboLinux.
Gravité de cette menace : 4/4.
Nombre de vulnérabilités dans ce bulletin : 10.
Date de création : 12/06/2009.
Références de cette faille : 495057, BID-35326, BID-35360, BID-35370, BID-35371, BID-35372, BID-35373, BID-35377, BID-35380, BID-35383, BID-35386, BID-35388, BID-35391, BID-35461, CERTA-2009-AVI-233, CERTA-2009-AVI-251, CVE-2009-1392, CVE-2009-1832, CVE-2009-1833, CVE-2009-1834, CVE-2009-1835, CVE-2009-1836, CVE-2009-1837, CVE-2009-1838, CVE-2009-1839, CVE-2009-1840, CVE-2009-1841, CVE-2009-2210, DSA-1820-1, DSA-1830-1, FEDORA-2009-7567, FEDORA-2009-7614, FEDORA-2009-8535, MDVSA-2009:134, MDVSA-2009:141, MFSA 2009-24, MFSA 2009-25, MFSA 2009-26, MFSA 2009-27, MFSA 2009-28, MFSA 2009-29, MFSA 2009-30, MFSA 2009-31, MFSA 2009-32, MFSA 2009-33, RHSA-2009:1095-01, RHSA-2009:1096-01, RHSA-2009:1125-01, RHSA-2009:1126-01, RHSA-2009:1134-01, SSA:2009-167-01, SSA:2009-176-01, SSA:2009-178-01, SUSE-SA:2009:034, TLSA-2009-18, TLSA-2009-20, VIGILANCE-VUL-8792.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans Firefox, Thunderbird et SeaMonkey.

Plusieurs corruptions de mémoire conduisent à l'exécution de code. [grav:4/4; BID-35370, BID-35371, BID-35372, CERTA-2009-AVI-233, CERTA-2009-AVI-251, CVE-2009-1392, CVE-2009-1832, CVE-2009-1833, MFSA 2009-24]

Certains caractères Unicode invalides sont affichés comme des espaces dans la barre d'adresse, ce qui peut tromper la victime. [grav:1/4; BID-35388, CVE-2009-1834, MFSA 2009-25]

Un attaquant peut inviter la victime à ouvrir un fichier local afin de lire tous ses cookies. [grav:2/4; BID-35391, CVE-2009-1835, MFSA 2009-26]

Un attaquant peut intercepter une requête CONNECT vers un proxy et envoyer une réponse autre que 200-Ok afin d'injecter du code dans le navigateur web de la victime (VIGILANCE-VUL-8806). [grav:3/4; BID-35380, CVE-2009-1836, MFSA 2009-27]

Un attaquant peut créer une page HTML contenant une applet Java provoquant l'utilisation de mémoire libérée dans NPObjWrapper_NewResolve(). [grav:4/4; BID-35360, CVE-2009-1837, MFSA 2009-28]

Après le passage du ramasse-miettes, du code JavaScript peut s'exécuter avec les privilèges chrome. [grav:4/4; BID-35383, CVE-2009-1838, MFSA 2009-29]

Un attaquant peut inviter la victime à ouvrir un fichier local afin d'exécuter du code JavaScript dans le contexte de la page précédente. [grav:2/4; BID-35386, CVE-2009-1839, MFSA 2009-30]

La politique de sécurité n'est pas vérifiée lors du chargement d'un fichier contenant du code JavaScript. [grav:1/4; CVE-2009-1840, MFSA 2009-31]

Un attaquent peut employer la Sidebar ou FeedWriter pour exécuter du code avec les privilèges chrome. [grav:4/4; BID-35373, BID-35377, CVE-2009-1841, MFSA 2009-32]

Un email au format MIME multipart/alternative contenant une partie text/enhanced provoque une corruption de mémoire. [grav:3/4; 495057, BID-35461, CVE-2009-2210, MFSA 2009-33]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de vulnérabilité concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, Firefox, SeaMonkey, Thunderbird, openSUSE, RHEL, Slackware, SLES, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille informatique est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 10 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis cybersécurité.

Solutions pour cette menace 

Firefox : version 3.0.11.
La version 3.0.11 est corrigée :
  http://getfirefox.com/

Thunderbird : version 2.0.0.22.
La version 2.0.0.22 est corrigée :
  http://getthunderbird.com/
  http://www.mozilla-europe.org/fr/products/thunderbird/

SeaMonkey : version 1.1.17.
La version 1.1.17 est corrigée :
  http://www.seamonkey-project.org/

Debian : nouveaux paquetages icedove.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/i/icedove/icedove-*_2.0.0.22-0lenny1_*.deb

Debian : nouveaux paquetages xulrunner.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/x/xulrunner/*_1.9.0.11-0lenny1_*.deb

Fedora 10 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

Fedora 11 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  thunderbird-3.0-2.6.b3.fc11

Fedora 9 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles.

Fedora : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  seamonkey-1.1.17-1.fc10
  seamonkey-1.1.17-1.fc11

Mandriva : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2009.0: firefox-3.0.11-0.1mdv2009.0
  Mandriva Linux 2009.1: firefox-3.0.11-0.1mdv2009.1

Mandriva : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2009.0: mozilla-thunderbird-2.0.0.22-0.2mdv2009.0
  Mandriva Linux 2009.1: mozilla-thunderbird-2.0.0.22-0.2mdv2009.1
  Corporate 3.0: mozilla-thunderbird-2.0.0.22-0.1.C30mdk

RHEL 3, 4 : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3:
  seamonkey-1.0.9-0.39.el3
Red Hat Enterprise Linux version 4:
  seamonkey-1.0.9-44.el4_8

RHEL 4, 5 : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4:
  firefox-3.0.11-4.el4
Red Hat Enterprise Linux version 5:
  firefox-3.0.11-2.el5_3
  xulrunner-1.9.0.11-3.el5_3

RHEL 4, 5 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: thunderbird-1.5.0.12-23.el4
Red Hat Enterprise Linux version 5: thunderbird-2.0.0.22-2.el5_3

Slackware : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
Slackware 12.2:
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/mozilla-firefox-3.0.11-i686-1.tgz

Slackware : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
Slackware 10.2:
ftp://ftp.slackware.com/pub/slackware/slackware-10.2/patches/packages/mozilla-thunderbird-2.0.0.22-i686-1.tgz
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/mozilla-thunderbird-2.0.0.22-i686-1.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/mozilla-thunderbird-2.0.0.22-i686-1.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/mozilla-thunderbird-2.0.0.22-i686-1.tgz
Slackware 12.2:
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/mozilla-thunderbird-2.0.0.22-i686-1.tgz

Slackware : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/seamonkey-1.1.17-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/seamonkey-1.1.17-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/seamonkey-1.1.17-i486-1_slack12.1.tgz
Slackware 12.2:
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/seamonkey-1.1.17-i486-1_slack12.2.tgz

SUSE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles.

Turbolinux : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles.

Turbolinux : nouveaux paquetages webnavi.
De nouveaux paquetages sont disponibles.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilité applicative. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.