S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 18 décembre 2008 No CERTA-2008-AVI-606

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités des produits Mozilla

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité.

2 Systèmes affectés

• Mozilla Firefox versions inférieures à la version 3.0.5 ;
• Mozilla Thunderbird versions inférieures à la version 2.0.0.19 ;
• Mozilla SeaMonkey versions inférieures à la version 1.1.14.

3 Résumé

4 Description

De multiples vulnérabilités ont été découvertes dans les produits Mozilla :

Firefox

: les vulnérabilités sont, pour la plupart, dues à une mauvaise gestion du langage Javascript. Ces vulnérabilités peuvent être exploitées afin, entre autre, de contourner la politique de sécurité, réaliser une injection de code indirecte, ou d'exécuter du code arbitraire à distance.

Thunderbird

: l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.

SeaMonkey

: l'exploitation des vulnérabilités découvertes permet d'accéder à des informations sensibles, de conduire des attaques par injection de code indirecte, ou d'exécuter du code arbitraire à distance.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La nouvelle version de Thunderbird n'est pas encore disponible. En attendant, le CERTA recommande d'utiliser un client de messagerie alternatif.

6 Documentation

• Bulletins de sécurité de la fondation Mozilla du 16 décembre 2008 :

  http://www.mozilla.org/security/announce/2008/mfsa2008-60.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-61.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-63.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-64.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-65.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-66.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-67.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-68.html
  

  http://www.mozilla.org/security/announce/2008/mfsa2008-69.html
  

• Référence CVE CVE-2008-5500 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5500
  

• Référence CVE CVE-2008-5501 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5501
  

• Référence CVE CVE-2008-5502 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5502
  

• Référence CVE CVE-2008-5503 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5503
  

• Référence CVE CVE-2008-5505 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5505
  

• Référence CVE CVE-2008-5506 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5506
  

• Référence CVE CVE-2008-5507 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5507
  

• Référence CVE CVE-2008-5508 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5508
  

• Référence CVE CVE-2008-5510 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5510
  

• Référence CVE CVE-2008-5511 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5511
  

• Référence CVE CVE-2008-5512 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5512
  

• Référence CVE CVE-2008-5513 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5513
  

Gestion détaillée du document

18 décembre 2008

version initiale.