L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Firefox, Thunderbird : utilisation de mémoire libérée via SVG Animation

Synthèse de la vulnérabilité 

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via une animation SVG sur Firefox ou Thunderbird, afin de mener un déni de service, et éventuellement d'exécuter du code.
Logiciels impactés : Debian, Fedora, Firefox, SeaMonkey, Thunderbird, NetBSD, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de cette vulnérabilité informatique : 4/4.
Date de création : 01/12/2016.
Références de cette annonce : bulletinjan2017, CERTFR-2016-AVI-392, CVE-2016-9079, DLA-752-1, DSA-3728-1, DSA-3730-1, FEDORA-2016-0bfa836087, FEDORA-2016-2967f5f965, FEDORA-2016-5748592807, FEDORA-2016-d2cbcd602d, FEDORA-2016-fde083842e, MFSA-2016-92, openSUSE-SU-2016:2991-1, openSUSE-SU-2016:2994-1, openSUSE-SU-2016:3011-1, openSUSE-SU-2016:3019-1, RHSA-2016:2843-01, RHSA-2016:2850-01, SSA:2016-336-01, SSA:2016-336-02, SUSE-SU-2016:3048-1, SUSE-SU-2016:3080-1, SUSE-SU-2016:3105-1, USN-3140-1, USN-3141-1, VIGILANCE-VUL-21244, VU#791496.

Description de la vulnérabilité 

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via une animation SVG sur Firefox ou Thunderbird, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de vulnérabilité informatique concerne les logiciels ou systèmes comme Debian, Fedora, Firefox, SeaMonkey, Thunderbird, NetBSD, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette alerte sécurité.

Solutions pour cette menace 

Firefox : version 50.0.2.
La version 50.0.2 est corrigée :
  http://www.mozilla.org/firefox/

Firefox : version 45.5.1.
La version 45.5.1 est corrigée :
  http://www.mozilla.org/firefox/

Mozilla Thunderbird : version 45.5.1.
La version 45.5.1 est corrigée :
  https://www.mozilla.org/fr/thunderbird/

Debian 8 : nouveaux paquetages firefox-esr.
De nouveaux paquetages sont disponibles :
  Debian 8 : firefox-esr 45.5.1esr-1~deb8u1

Debian : nouveaux paquetages icedove.
De nouveaux paquetages sont disponibles :
  Debian 8 : icedove 1:45.5.1-1~deb8u1
  Debian 7 : icedove 45.5.1-1~deb7u1

Fedora : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Fedora 23 : firefox 50.0.2-1.fc23
  Fedora 24 : firefox 50.0.2-1.fc24
  Fedora 25 : firefox 50.0.2-1.fc25

Fedora : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Fedora 24 : thunderbird 45.5.1-1.fc24
  Fedora 25 : thunderbird 45.5.1-1.fc25

Mozilla SeaMonkey : version 2.46.
La version 2.46 est corrigée :
  http://www.seamonkey-project.org/releases/

NetBSD pkgsrc : version 2017Q1.
La version 2017Q1 est corrigée :
  https://www.pkgsrc.org/

openSUSE 13.1 : nouveaux paquetages MozillaFirefox / MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : MozillaFirefox 50.0.2-131.1, MozillaThunderbird 45.5.1-70.92.1, mozilla-nss 3.26.2-94.1

openSUSE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : MozillaFirefox 50.0.2-91.1
  openSUSE Leap 42.1 : MozillaFirefox 50.0.2-42.1
  openSUSE Leap 42.2 : MozillaFirefox 50.0.2-42.2

openSUSE : nouveaux paquetages MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : MozillaThunderbird 45.5.1-55.1
  openSUSE Leap 42.1 : MozillaThunderbird 45.5.1-28.2
  openSUSE Leap 42.2 : MozillaThunderbird 45.5.1-28.2

RHEL : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  RHEL 5 : firefox 45.5.1-1.el5_11
  RHEL 6 : firefox 45.5.1-1.el6_8
  RHEL 7 : firefox 45.5.1-1.el7_3

RHEL : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  RHEL 5 : thunderbird 45.5.1-1.el5_11
  RHEL 6 : thunderbird 45.5.1-1.el6_8
  RHEL 7 : thunderbird 45.5.1-1.el7_3

Slackware : nouveaux paquetages mozilla-firefox.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : mozilla-firefox 45.5.1esr-*-1_slack14.1
  Slackware 14.2 : mozilla-firefox 45.5.1esr-*-1_slack14.2

Slackware : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : mozilla-thunderbird 45.5.1-*-1_slack14.1
  Slackware 14.2 : mozilla-thunderbird 45.5.1-*-1_slack14.2

Solaris : patch pour logiciels tiers de janvier 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 11 : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : MozillaFirefox 45.5.1esr-59.1, mozilla-nss 3.21.3-39.1
  SUSE LE 11 SP4 : MozillaFirefox 45.5.1esr-59.1, mozilla-nss 3.21.3-39.1
  SUSE LE 11 SP2 : MozillaFirefox 45.5.1esr-63.1, mozilla-nss 3.21.3-30.1

SUSE LE 12 : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : MozillaFirefox 45.5.1esr-93.1
  SUSE LE 12 SP1 : MozillaFirefox 45.5.1esr-93.1
  SUSE LE 12 SP2 : MozillaFirefox 45.5.1esr-93.1

SUSE LE 12 : nouveaux paquetages MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP2 : MozillaThunderbird 45.5.1-17.1

Ubuntu : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.10 : firefox 50.0.2+build1-0ubuntu0.16.10.1
  Ubuntu 16.04 LTS : firefox 50.0.2+build1-0ubuntu0.16.04.1
  Ubuntu 14.04 LTS : firefox 50.0.2+build1-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : firefox 50.0.2+build1-0ubuntu0.12.04.1

Ubuntu : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.10 : thunderbird 1:45.5.1+build1-0ubuntu0.16.10.1
  Ubuntu 16.04 LTS : thunderbird 1:45.5.1+build1-0ubuntu0.16.04.1
  Ubuntu 14.04 LTS : thunderbird 1:45.5.1+build1-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : thunderbird 1:45.5.1+build1-0ubuntu0.12.04.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilités applicatives. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.