Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2007-AVI-407
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 19 septembre
2007 No CERTA-2007-AVI-407 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité dans
Firefox
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-407 |
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été identifiée dans le navigateur Mozilla Firefox, en relation avec l'alerte CERTA-2007-ALE-014. L'exploitation de cette dernière permet à des fichiers, notamment au format QuickTime de lancer le navigateur par défaut en ligne de commandes avec des options arbitraires. La politique de sécurité configurée dans le navigateur est alors contournée.
Une vulnérabilité a été identifiée dans le navigateur Mozilla Firefox, en relation avec l'alerte CERTA-2007-ALE-014. L'exploitation de cette dernière permet à des fichiers, notamment au format QuickTime (qtl) de lancer le navigateur par défaut en ligne de commandes avec des options arbitraires. Ainsi, l'option -chrome permet de lancer des scripts de commandes sur le système avec les droits de l'utilisateur. La politique de sécurité configurée dans le navigateur est alors contournée, cette vulnérabilité pouvant être utilisée pour installer et exécuter tout code arbitraire sur le système vulnérable.
Le correctif proposé par Mozilla bloque ainsi l'exécution de script arbitraire depuis la ligne de commandes.
Se référer au bulletin de sécurité MFSA2007-028 de Mozilla pour l'obtention des correctifs (cf. section Documentation).
http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-014/