S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 18 janvier 2011 No CERTA-2010-AVI-420-001

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• atteinte à la confidentialité des données ;
• injection de code indirecte à distance.

2 Systèmes affectés

• Mozilla Firefox versions antérieures à la 3.5.12 ;
• Mozilla Firefox versions antérieures à la 3.6.9 ;
• Mozilla SeaMonkey versions antérieures à 2.0.7.

3 Résumé

De multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey permettent, entre autres, à un utilisateur distant malintentionné d'exécuter du code arbitraire, de provoquer un déni de service ou d'effectuer une injection de code indirecte.

4 Description

Plusieurs vulnérabilités ont été découvertes dans Mozilla Firefox et Mozilla SeaMonkey :

• une vulnérabilité dans l'objet XMLHttpRequest permet de porter atteinte à la confidentialité des données (CVE-2010-2764) ;
• plusieurs vulnérabilités permettent d'effectuer des injections de code indirectes (CVE-2010-2763, CVE-2010-2768, CVE-2010-2769) ;
• plusieurs vulnérabilités permettent de provoquer un déni de service ou une exécution de code arbitraire à distance (CVE-2010-2760, CVE-2010-2762, CVE-2010-2765, CVE-2010-2766, CVE-2010-2767, CVE-2010-2770, CVE-2010-3131, CVE-2010-3166, CVE-2010-3167, CVE-2010-3168, CVE-2010-3169).

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité de la fondation Mozilla MFSA2010-49 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-49.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-50 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-50.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-51 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-51.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-52 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-52.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-53 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-53.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-54 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-54.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-55 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-55.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-56 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-56.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-57 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-57.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-58 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-58.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-59 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-59.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-60 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-60.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-61 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-61.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-62 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-62.html
  

• Bulletin de sécurité de la fondation Mozilla MFSA2010-63 du 07 septembre 2010 :

  http://www.mozilla.org/security/announce/2010/mfsa2010-63.html
  

• Bulletin de sécurité Oracle Solaris du 07 janvier 2011 :

  http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
  

• Référence CVE CVE-2010-2760 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2760
  

• Référence CVE CVE-2010-2762 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2762
  

• Référence CVE CVE-2010-2763 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2763
  

• Référence CVE CVE-2010-2764 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2764
  

• Référence CVE CVE-2010-2765 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2765
  

• Référence CVE CVE-2010-2766 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2766
  

• Référence CVE CVE-2010-2767 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2767
  

• Référence CVE CVE-2010-2768 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2768
  

• Référence CVE CVE-2010-2769 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2769
  

• Référence CVE CVE-2010-2770 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2770
  

• Référence CVE CVE-2010-3131 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3131
  

• Référence CVE CVE-2010-3166 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3166
  

• Référence CVE CVE-2010-3167 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3167
  

• Référence CVE CVE-2010-3168 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3168
  

• Référence CVE CVE-2010-3169 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3169
  

Gestion détaillée du document

08 septembre 2010

Version initiale ;

09 septembre 2010

Ajout de Mozilla SeaMonkey dans les systèmes affectés ;

18 janvier 2011

Ajout de la référence au bulletin de sécurité Oracle Solaris.