CERT-XMCO : Compromission d’un système utilisant Mozilla Firefox via l’accès à une page Internet spécialement conçue
avril 2010 par CERT-XMCO
* Mozilla Foundation Security Advisory 2010-25
– Date : 02 Avril 2010
– Plateforme : Toutes
– Programme : Mozilla Firefox
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommage : Accès au système
– Description :
Une vulnérabilité a été corrigée au sein du logiciel Mozilla Firefox. L’exploitation de celle-ci permettait à un attaquant de compromettre un système.
La faille de sécurité provenait d’une erreur du type "use-after-free" au sein de la gestion des objets DOM. En déplaçant un objet entre plusieurs documents, le chercheur au surnom ’Nils’ à découvert un problème lié à la gestion du "scope" de l’objet. Le navigateur utilise l’ancien contexte en lieu et place de celui lié au nouveau document. En tirant parti du mécanisme de "ramasse-miette " (garbage collection) au bon moment, le chercheur a démontré qu’il était possible de compromettre le système.
Note : cette vulnérabilité a été rapportée à Mozilla lors du concours "Pwn2Own" qui s’est déroulé lors de la conférence CanSecWest 2010.
– Vulnérable :
* Mozilla Firefox 3.6.2 et antérieure
– Référence :
http://www.mozilla.org/security/announce/2010/mfsa2010-25.html
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1121
– Correction :
Nous vous recommandons d’installer la version 3.6.3 de Mozilla Firefox disponible à l’adresse suivante :
http://download.mozilla.org/?product=firefox-3.6.3&os=win&lang=fr
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0397