Multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey

Risque

Exécution de code arbitraire à distance ;
déni de service à distance ;
atteinte à la confidentialité des données ;
injection de code indirecte à distance.

Systèmes affectés

Mozilla Firefox versions antérieures à la 3.5.12 ;
Mozilla Firefox versions antérieures à la 3.6.9 ;
Mozilla SeaMonkey versions antérieures à 2.0.7.

Résumé

De multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey permettent, entre autres, à un utilisateur distant malintentionné d'exécuter du code arbitraire, de provoquer un déni de service ou d'effectuer une injection de code indirecte.

Description

Plusieurs vulnérabilités ont été découvertes dans Mozilla Firefox et Mozilla SeaMonkey :

une vulnérabilité dans l'objet XMLHttpRequest permet de porter atteinte à la confidentialité des données (CVE-2010-2764) ;
plusieurs vulnérabilités permettent d'effectuer des injections de code indirectes (CVE-2010-2763, CVE-2010-2768, CVE-2010-2769) ;
plusieurs vulnérabilités permettent de provoquer un déni de service ou une exécution de code arbitraire à distance (CVE-2010-2760, CVE-2010-2762, CVE-2010-2765, CVE-2010-2766, CVE-2010-2767, CVE-2010-2770, CVE-2010-3131, CVE-2010-3166, CVE-2010-3167, CVE-2010-3168, CVE-2010-3169).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité de la fondation Mozilla MFSA2010-49 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-49.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-50 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-50.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-51 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-51.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-52 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-52.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-53 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-53.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-54 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-54.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-55 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-55.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-56 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-56.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-57 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-57.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-58 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-58.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-59 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-59.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-60 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-60.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-61 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-61.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-62 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-62.html
```
Bulletin de sécurité de la fondation Mozilla MFSA2010-63 du 07 septembre 2010 :
```
http://www.mozilla.org/security/announce/2010/mfsa2010-63.html
```

Bulletin de sécurité Oracle Solaris du 07 janvier 2011 :

http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox

Référence CVE CVE-2010-2760 :

https://www.cve.org/CVERecord?id=CVE-2010-2760

Référence CVE CVE-2010-2762 :

https://www.cve.org/CVERecord?id=CVE-2010-2762

Référence CVE CVE-2010-2763 :

https://www.cve.org/CVERecord?id=CVE-2010-2763

Référence CVE CVE-2010-2764 :

https://www.cve.org/CVERecord?id=CVE-2010-2764

Référence CVE CVE-2010-2765 :

https://www.cve.org/CVERecord?id=CVE-2010-2765

Référence CVE CVE-2010-2766 :

https://www.cve.org/CVERecord?id=CVE-2010-2766

Référence CVE CVE-2010-2767 :

https://www.cve.org/CVERecord?id=CVE-2010-2767

Référence CVE CVE-2010-2768 :

https://www.cve.org/CVERecord?id=CVE-2010-2768

Référence CVE CVE-2010-2769 :

https://www.cve.org/CVERecord?id=CVE-2010-2769

Référence CVE CVE-2010-2770 :

https://www.cve.org/CVERecord?id=CVE-2010-2770

Référence CVE CVE-2010-3131 :

https://www.cve.org/CVERecord?id=CVE-2010-3131

Référence CVE CVE-2010-3166 :

https://www.cve.org/CVERecord?id=CVE-2010-3166

Référence CVE CVE-2010-3167 :

https://www.cve.org/CVERecord?id=CVE-2010-3167

Référence CVE CVE-2010-3168 :

https://www.cve.org/CVERecord?id=CVE-2010-3168

Référence CVE CVE-2010-3169 :

https://www.cve.org/CVERecord?id=CVE-2010-3169

Référence	CERTA-2010-AVI-420-001
Titre	Multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey
Date de la première version	08 septembre 2010
Date de la dernière version	18 janvier 2011
Source(s)	Bulletins de sécurité Mozilla MFSA2010-49 à MFSA2010-63 du 07 septembre 2010
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey

Gestion du document