Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

xmco : Correction de plusieurs vulnérabilités au sein du navigateur Firefox

février 2009 par XMCO PARTNERS

Mozilla Firefox Multiple Vulnerabilities

 Date : 04 Fevrier 2009

 Plateformes :
* Windows
* Mac OS X
* Linux

 Programme : Mozilla Firefox

 Gravité : Elevée

 Exploitation : Distante

 Dommages :
Vol de session
Vol d’informations
Contournement de sécurité
Accès au système

 Description :

De nombreuses vulnérabilités ont été corrigées au sein du navigateur internet Firefox. Celles-ci pouvaient être exploitées afin de permettre à un attaquant distant de mener des attaques de type "Cross Site Scripting" (XSS), de contourner certaines mesures de sécurité, d’obtenir des informations sensibles ou de prendre le contrôle du système sous-jacent.

Tout d’abord, le moteur de rendu et le moteur JavaScript étaient vulnérables à plusieurs débordement de mémoire, permettant d’exécuter du code malicieux sur le système.

D’autre part, une méthode XBL de l’interface utilisateur chrome, permettait d’exécuter un code JavaScript au sein d’un site internet visualisé.
Les privilèges de chrome pouvaient également être utilisé en créant un raccourci judicieusement conçu afin d’exécuter un script malicieux.

Une erreur se produisant lors de la restauration d’un onglet fermé pouvait afficher le contenu de fichiers situés sur le système.

Un problème de sécurité au sein des objets
"XMLHttpRequest.getResponseHeader" et
"XMLHttpRequest.getAllResponseHeaders" permettait de lire un cookie avec l’option "HTTPOnly".

Enfin, le navigateur ignorait certaines directives HTTP lors de la gestion du cache, permettant à un attaquant d’obtenir des informations sensibles.

 Vulnérable :
* Firefox 3

 Référence :

http://www.mozilla.org/security/announce/2009/mfsa2009-01.html
http://www.mozilla.org/security/announce/2009/mfsa2009-02.html
http://www.mozilla.org/security/announce/2009/mfsa2009-03.html
http://www.mozilla.org/security/announce/2009/mfsa2009-04.html
http://www.mozilla.org/security/announce/2009/mfsa2009-05.html
http://www.mozilla.org/security/announce/2009/mfsa2009-06.html

 Référence CVE :
CVE-2009-0352
CVE-2009-0353
CVE-2009-0354
CVE-2009-0355
CVE-2009-0356
CVE-2009-0357
CVE-2009-0358

 Correction :

Nous vous recommandons de procéder à une mise à jour automatique ou à télécharger la version 3.0.6 sur le site officiel

http://www.mozilla-europe.org/fr/

 Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233742694


Voir les articles précédents

    

Voir les articles suivants