L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Mozilla, Firefox : 9 vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités de Firefox et de la suite Mozilla permettent à un attaquant de faire exécuter du code sur la machine.
Logiciels impactés : Debian, Fedora, HP-UX, Firefox, Mozilla Suite, openSUSE, RHEL, RedHat Linux, Slackware, TurboLinux.
Gravité de cette vulnérabilité informatique : 3/4.
Nombre de vulnérabilités dans ce bulletin : 10.
Date de création : 18/04/2005.
Dates de révisions : 19/04/2005, 21/04/2005, 22/04/2005, 27/04/2005, 29/04/2005.
Références de cette annonce : 20050501-01-U, BID-13208, BID-13211, BID-13216, BID-13228, BID-13229, BID-13230, BID-13231, BID-13232, BID-13233, CERTA-2005-AVI-148, CVE-2005-0752, CVE-2005-0989, CVE-2005-1153, CVE-2005-1154, CVE-2005-1155, CVE-2005-1156, CVE-2005-1157, CVE-2005-1158, CVE-2005-1159, CVE-2005-1160, DSA-781-1, FLSA:152883, FLSA-2005-152883, HP01133, MFSA2005-33, MFSA2005-34, MFSA2005-35, MFSA2005-36, MFSA2005-37, MFSA2005-38, MFSA2005-39, MFSA2005-40, MFSA2005-41, RHSA-2005:383, RHSA-2005:384, RHSA-2005:386, SGI 20050501, SSA:2005-111-04, SUSE-SA:2005:028, TLSA-2005-49, V6-MOZILLA1779VUL, VIGILANCE-VUL-4906, VU#519317, VU#973309.

Description de la vulnérabilité 

Les versions 1.0.3 de Firefox et 1.7.7 de Mozilla corrigent 9 vulnérabilités.

Un script Javascript peut employer un remplacement par expression régulière pour lire le contenu de la mémoire (VIGILANCE-VUL-4869).

Lorsque l'attribut PLUGINSPAGE de l'élément EMBED contient du Javascript, il est exécuté.

Le code Javascript d'un popup bloqué est exécuté lorsqu'il est visualisé.

Un code Javascript global peut conduire à une attaque de type Cross Site Scripting.

Le code Javascript d'un favicon peut être exécuté.

Un plugin de recherche illicite peut conduire à une attaque de type Cross Site Scripting.

Un script Javascript peut employer la cible _search pour installer du code ou obtenir des informations.

Les vérifications de InstallTrigger et XPInstall sont incorrectes.

Un attaquant peut exécuter du code en écrasant les propriétés DOM.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cyber-sécurité concerne les logiciels ou systèmes comme Debian, Fedora, HP-UX, Firefox, Mozilla Suite, openSUSE, RHEL, RedHat Linux, Slackware, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de menace est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 10 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de menace.

Solutions pour cette menace 

Mozilla suite : version.
La version 1.7.7 est corrigée :
  http://www.mozilla.org/

Firefox : version.
La version 1.0.3 est corrigée :
  http://www.mozilla.org/

Netscape : version.
La version 8.0 est corrigée :
  http://browser.netscape.com/ns8/

Debian : nouveaux paquetages mozilla-thunderbird.
De nouveaux paquetages sont disponibles :
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_i386.deb
      Size/MD5 checksum: 11523292 0b3272e1f860da8d415a9d492718dab9
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_i386.deb
      Size/MD5 checksum: 3267364 e1c3e4a8c865bc13d69d94c5774c6806
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_i386.deb
      Size/MD5 checksum: 139484 43e24cd43ad7b87206866614dbe7f73c
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_i386.deb
      Size/MD5 checksum: 26502 e10611304b82a03ff28646cbc4a3ef4c
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_i386.deb
      Size/MD5 checksum: 80868 a017cf6698d4dc08d574083061876b18
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_ia64.deb
      Size/MD5 checksum: 14600148 ed6a27da1a997f2259c095a2d0fcd116
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_ia64.deb
      Size/MD5 checksum: 3283336 110376398b8b9ed932365de3f059f455
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_ia64.deb
      Size/MD5 checksum: 148328 d1b4914d0ac468538289856fc9e2c397
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_ia64.deb
      Size/MD5 checksum: 26500 36addd7bbce708f80f32a9ed7ec7307d
    http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_ia64.deb
      Size/MD5 checksum: 99946 91de5051f92e86f47aacc6a9909e1223

HP-UX : version 1.7.8.00 de Mozilla.
La version 1.7.8.00 est corrigée :
  http://www.hp.com/go/mozilla

Red Hat Linux, Fedora Core : nouveaux paquetages mozilla.
De nouveaux paquetages sont disponibles :
Red Hat Linux 7.3:
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/mozilla-1.7.7-0.73.2.legacy.src.rpm
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/galeon-1.2.14-0.73.2.legacy.src.rpm
Red Hat Linux 9:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/mozilla-1.7.7-0.90.1.legacy.src.rpm
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/galeon-1.2.14-0.90.2.legacy.src.rpm
Fedora Core 1:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/mozilla-1.7.7-1.1.2.legacy.src.rpm
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/epiphany-1.0.8-1.fc1.2.legacy.src.rpm
Fedora Core 2:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/mozilla-1.7.7-1.2.2.legacy.src.rpm
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/epiphany-1.2.10-0.2.3.legacy.src.rpm
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/devhelp-0.9.1-0.2.6.legacy.src.rpm

RHEL 2.1, 3 : nouveaux paquetages galeon et mozilla.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 2.1:
  galeon-1.2.14-1.2.3
  mozilla-1.7.7-1.1.2.1
Red Hat Enterprise Linux 3:
  mozilla-1.7.7-1.1.3.4

RHEL 4 : nouveaux paquetages firefox et mozilla.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4:
  firefox-1.0.3-1.4.1
  mozilla-1.7.7-1.4.2

SGI ProPack : nouveaux paquetages xloadimage, cvs, openoffice, sharutils, php, mozilla.
Le patch 10168 est disponible :
  http://support.sgi.com/
Des RPMs individuels sont aussi proposés :
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

Slackware : nouveaux paquetages mozilla.
De nouveaux paquetages sont disponibles :
Slackware 10.0:
ftp://ftp.slackware.com/pub/slackware/slackware-10.0/patches/packages/mozilla-1.7.7-i486-1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-10.0/patches/packages/mozilla-plugins-1.7.7-noarch-1.tgz
Slackware 10.1:
ftp://ftp.slackware.com/pub/slackware/slackware-10.1/patches/packages/mozilla-1.7.7-i486-1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-10.1/patches/packages/mozilla-plugins-1.7.7-noarch-1.tgz

Slackware : nouveaux paquetages mozilla.
De nouveaux paquetages sont disponibles :
Turbolinux 10 : mozilla-1.7.7-1

SuSE : nouveaux paquetages mozilla.
De nouveaux paquetages sont disponibles :
  SUSE Linux 9.3:
    MozillaFirefox-1.0.3-1.1
    mozilla-1.7.5-17.2
  SUSE Linux 9.2:
    MozillaFirefox-1.0.3-1.1
    mozilla-1.7.2-17.9
  SUSE Linux 9.1:
    MozillaFirefox-1.0.3-0.5
  SUSE Linux 9.0:
    MozillaFirebird-1.0.3-3
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.