CERT-XMCO : compromission d’un système via une vulnérabilité au sein du moteur javaScript de Firefox
octobre 2010 par CERT-XMCO
– Date : 27 Octobre 2010
– Plateforme : Toutes
– Programme : Firefox
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommages :
Accès au système
Déni de service
– Description :
Une vulnérabilité a été découverte au sein du navigateur web Firefox. L’exploitation de celle-ci permet à un attaquant distant de compromettre un système.
La faille de sécurité provient d’une erreur au sein de la fonction "document.write()". En fournissant une chaine de caractères très longue, un pirate est en mesure de corrompre la mémoire d’un système afin d’en prendre le contrôle.
Cette vulnérabilité de type 0-day a été découverte par la société Norman lors de son exploitation sur le site du Prix Nobel. Le CERT-XMCO a déjà traité cette information dans les bulletins CXA-2010-1469 et CXA-2010-1478.
– Vulnérable :
* Firefox 3.5
* Firefox 3.6
* D’autres versions peuvent aussi être vulnérables.
– Référence :
http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/
http://norman.com/about_norman/press_center/news_archive/2010/129223/en
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1478
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765
– Correction :
Aucun correctif n’est actuellement disponible. Néanmoins, Mozilla travaille activement à la préparation de celui-ci.
Une solution de contournement existe : désactiver le support du JavaScript ou encore utiliser l’extension NoScript.
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1479