 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 17 mai 2005
No CERTA-2005-AVI-148-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités des produits Mozilla
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-148-001 |
| Titre |
Multiples
vulnérabilités des produits
Mozilla |
| Date de la première
version |
18 avril 2005 |
| Date de la dernière
version |
17 mai 2005 |
| Source(s) |
Bulletins de
sécurité Mozilla Foundation du 15
et 16 avril 2005 |
| Pièce(s) jointe(s) |
|
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire ;
- contournement de la politique de sécurité
;
- vulnérabilité de type cross site
scripting.
- Mozilla Firefox 1.0.2 et versions antérieures
;
- Mozilla Suite 1.7.6 et versions antérieures.
Plusieurs vulnérabilités découvertes
dans les produits Mozilla permettent à un utilisateur
mal intentionné d'exécuter du code arbitraire, de
contourner la politique de sécurité ou
d'effectuer des attaques de type cross site
scripting.
- Une vulnérabilité découverte dans
Firefox permet à un utilisateur mal intentionné
d'exécuter du code arbitraire par le seul fait
d'inciter l'utilisateur à installer manuellement des
modules manquants (MFSA 2005-34) ;
- une vulnérabilité découverte dans
les produits Mozilla permet à un individu
d'exécuter du code arbitraire, en incitant
l'utilisateur à afficher une fenêtre
popup (initialement bloquée) dont l'adresse
réticulaire est malicieusement constituée (MFSA
2005-35) ;
- une vulnéraibilité dans les produits
Mozilla permet à un utilisateur distant mal
intentionné d'effectuer des attaques de type cross
site scripting au moyen d'un site web malicieusement
construit (MFSA 2005-36) ;
- une vulnérabilité dans les produits Mozilla
permet à un individu mal intentionné
d'exécuter du code arbitraire sur le système
vulnérable (MFSA 2005-37) ;
- une vulnérabilité découverte dans
les produits Mozilla permet à un individu malveillant
d'exécuter du code arbitraire au moyen d'un adresse
réticulaire malicieusement constituée,
initialement destinée à effectuer une recherche
de modules manquants (MFSA 200-38) ;
- une vulnérabilité affectant Firefox permet
à un utilisateur mal intentionné
d'exécuter du code arbitraire à distance au
moyen d'une adresse réticulaire malicieusement
construite (MFSA 2005-39) ;
- une vulnérabilité découverte dans
les objets javascript suivants :
InstallTrigger et XPInstall-related. Cette
vulnérabilité permet à un utilisateur
distant mal intentionné d'exécuter du code
arbitraire sur le système vulnérable (MFSA
2005-40) ;
- une vulnérabilité affectant les produits
Mozilla permet à un utilisateur mal intentionné
d'exécuter du code arbitraire. L'exploitation de cette
vulnérabilité nécessite l'interaction de
la victime (MFSA 2005-41).
Se référer aux bulletins de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documenation).
- 18 avril 2005
- version initiale.
- 17 mai 2005
- ajout des références CVE et des bulletins
de sécurité Mandriva, RedHat et SuSE.
CERTA
2012-01-04
|
|
)
