Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : compromission d’un système via une vulnérabilité au sein du moteur javaScript de Firefox

octobre 2010 par CERT-XMCO

- Date : 27 Octobre 2010

- Plateforme : Toutes

- Programme : Firefox

- Gravité : Elevée

- Exploitation : Avec une page web malicieuse

- Dommages :
Accès au système
Déni de service

- Description : Une vulnérabilité a été découverte au sein du navigateur web Firefox. L’exploitation de celle-ci permet à un attaquant distant de compromettre un système.

La faille de sécurité provient d’une erreur au sein de la fonction "document.write()". En fournissant une chaine de caractères très longue, un pirate est en mesure de corrompre la mémoire d’un système afin d’en prendre le contrôle.

Cette vulnérabilité de type 0-day a été découverte par la société Norman lors de son exploitation sur le site du Prix Nobel. Le CERT-XMCO a déjà traité cette information dans les bulletins CXA-2010-1469 et CXA-2010-1478.

- Vulnérable :
* Firefox 3.5
* Firefox 3.6
* D’autres versions peuvent aussi être vulnérables.

- Référence :

http://blog.mozilla.com/security/20...

http://norman.com/about_norman/pres...

https://cert.xmco.fr/veille/client/...

https://cert.xmco.fr/veille/client/...

- Référence CVE : http://cve.mitre.org/cgi-bin/cvenam...

- Correction : Aucun correctif n’est actuellement disponible. Néanmoins, Mozilla travaille activement à la préparation de celui-ci.

Une solution de contournement existe : désactiver le support du JavaScript ou encore utiliser l’extension NoScript.

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/clie...




Voir les articles précédents

    

Voir les articles suivants