S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 12 mai 2005 No CERTA-2005-ALE-003-001

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités de Firefox

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• élévation de privilèges.

2 Systèmes affectés

3 Résumé

4 Description

• La première vulnérabilité perment à un utilisateur mal intentionné d'exécuter du code à travers un script en javascript malicieusement écrit, via un site internet judicieusement construit ;
• la deuxième vulnérabilité permet, quant à elle, à un utilisateur mal intentionné d'exécuter du code arbitraire avec des privilèges plus élevés.

Une combinaison de ces deux vulnérabilités permet à un utilisateur mal intentionné d'éxécuter du code arbitraire à distance.

Ces vulnérabilités sont actuellement exploites sur l'Internet.

5 Contournement provisoire

• Désactiver la prise en charge des javascripts ;
• désactiver l'installation d'extensions par des sites web.

6 Solution

La version 1.0.4 corrige ces vulnérabilités.

7 Documentation

• Site Internet de l'éditeur :

  http://www.mozilla.org
  

• Annonce de l'éditeur du 8 mai 2005 :

  http://www.mozilla.org/security/#Security_Alerts
  

• Bulletin de sécurité Mozilla Foundation #2005-42 du 11 mai 2005 :

  http://www.mozilla.org/security/announce/mfsa2005-42.html
  

Gestion détaillée du document

09 mai 2005

version initiale.

12 mai 2005

première révision : ajout de la solution.