Fixed in Firefox 3.0.4

– Date : 13 Novembre 2008

– Plateforme : Toutes

– Programmes :
* firefox
* Thunderbird
* SeaMonkey

– Gravité : Elevée

– Exploitation : Avec une page web malicieuse

– Dommages :
Vol de session
Vol d’informations
Contournement de sécurité
Elévation de privilèges
Accès au système
Déni de service

– Description :

Onze failles de sécurité viennent d’être corrigées au sein du navigateur internet Firefox. Parmi celles-ci deux étaient critiques et permettaient de compromettre le système sous-jacent.

Les failles de sécurité provenaient d’une mauvaise gestion du moteur DOM (Document Object Model), d’un débordement de mémoire lors du traitement du type MIME "http-index-format" et et d’une erreur au sein du moteur JavaScript permettant d’afficher des informations contenues dans la mémoire et d’exécuter un code malicieux.

D’autres vulnérabilités affectaient la fonction de restauration de session qui permettait d’exécuter un code javascript avec les privilèges du moteur "Chrome" et de contourner les mesures de sécurité afin d’envoyer des informations sur un autre domaine que celui visité.

– Vulnérable :

* Firefox 3.0.x

* Firefox 2.0.0.x

– Référence :

http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

http://www.mozilla.org/security/known-vulnerabilities/firefox20.html

– Référence CVE :

CVE-2008-5024, CVE-2008-5023, CVE-2008-5022, CVE-2008-5021, CVE-2008-0017, CVE-2008-5019, CVE-2008-5016, CVE-2008-5017, CVE-2008-5015, CVE-2008-5014, CVE-2008-5013, CVE-2008-5012, CVE-2008-4582

http://cve.mitre.org/cgi-bin/cvename.cgi?name=

– Correction :

Nous vous recommandons vivement d’installer la version 3.0.4 ou 2.0.0.18 disponible sur le site officiel :

http://www.mozilla-europe.org/fr/firefox/

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1226571461