Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : compromission d’un système via une vulnérabilité au sein du moteur javaScript de Firefox

octobre 2010 par CERT-XMCO

 Date : 27 Octobre 2010

 Plateforme : Toutes

 Programme : Firefox

 Gravité : Elevée

 Exploitation : Avec une page web malicieuse

 Dommages :
Accès au système
Déni de service

 Description :
Une vulnérabilité a été découverte au sein du navigateur web Firefox. L’exploitation de celle-ci permet à un attaquant distant de compromettre un système.

La faille de sécurité provient d’une erreur au sein de la fonction "document.write()". En fournissant une chaine de caractères très longue, un pirate est en mesure de corrompre la mémoire d’un système afin d’en prendre le contrôle.

Cette vulnérabilité de type 0-day a été découverte par la société Norman lors de son exploitation sur le site du Prix Nobel. Le CERT-XMCO a déjà traité cette information dans les bulletins CXA-2010-1469 et CXA-2010-1478.

 Vulnérable :
* Firefox 3.5
* Firefox 3.6
* D’autres versions peuvent aussi être vulnérables.

 Référence :

http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/

http://norman.com/about_norman/press_center/news_archive/2010/129223/en

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1478

 Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

 Correction :
Aucun correctif n’est actuellement disponible. Néanmoins, Mozilla travaille activement à la préparation de celui-ci.

Une solution de contournement existe : désactiver le support du JavaScript ou encore utiliser l’extension NoScript.

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1479


Voir les articles précédents

    

Voir les articles suivants