xmco : Correction de plusieurs vulnérabilités au sein du navigateur Firefox
février 2009 par XMCO PARTNERS
Mozilla Firefox Multiple Vulnerabilities
– Date : 04 Fevrier 2009
– Plateformes :
* Windows
* Mac OS X
* Linux
– Programme : Mozilla Firefox
– Gravité : Elevée
– Exploitation : Distante
– Dommages :
Vol de session
Vol d’informations
Contournement de sécurité
Accès au système
– Description :
De nombreuses vulnérabilités ont été corrigées au sein du navigateur internet Firefox. Celles-ci pouvaient être exploitées afin de permettre à un attaquant distant de mener des attaques de type "Cross Site Scripting" (XSS), de contourner certaines mesures de sécurité, d’obtenir des informations sensibles ou de prendre le contrôle du système sous-jacent.
Tout d’abord, le moteur de rendu et le moteur JavaScript étaient vulnérables à plusieurs débordement de mémoire, permettant d’exécuter du code malicieux sur le système.
D’autre part, une méthode XBL de l’interface utilisateur chrome, permettait d’exécuter un code JavaScript au sein d’un site internet visualisé.
Les privilèges de chrome pouvaient également être utilisé en créant un raccourci judicieusement conçu afin d’exécuter un script malicieux.
Une erreur se produisant lors de la restauration d’un onglet fermé pouvait afficher le contenu de fichiers situés sur le système.
Un problème de sécurité au sein des objets
"XMLHttpRequest.getResponseHeader" et
"XMLHttpRequest.getAllResponseHeaders" permettait de lire un cookie avec l’option "HTTPOnly".
Enfin, le navigateur ignorait certaines directives HTTP lors de la gestion du cache, permettant à un attaquant d’obtenir des informations sensibles.
– Vulnérable :
* Firefox 3
– Référence :
http://www.mozilla.org/security/announce/2009/mfsa2009-01.html
http://www.mozilla.org/security/announce/2009/mfsa2009-02.html
http://www.mozilla.org/security/announce/2009/mfsa2009-03.html
http://www.mozilla.org/security/announce/2009/mfsa2009-04.html
http://www.mozilla.org/security/announce/2009/mfsa2009-05.html
http://www.mozilla.org/security/announce/2009/mfsa2009-06.html
– Référence CVE :
CVE-2009-0352
CVE-2009-0353
CVE-2009-0354
CVE-2009-0355
CVE-2009-0356
CVE-2009-0357
CVE-2009-0358
– Correction :
Nous vous recommandons de procéder à une mise à jour automatique ou à télécharger la version 3.0.6 sur le site officiel
http://www.mozilla-europe.org/fr/
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1233742694