Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| firefox-3.0 | 3.0.9+nobinonly-0ubuntu0.8.04.1 | ||
| xulrunner-1.9 | 1.9.0.9+nobinonly-0ubuntu0.8.04.1 | ||
| Ubuntu 8.10 : | |||
| abrowser | 3.0.9+nobinonly-0ubuntu0.8.10.1 | ||
| firefox-3.0 | 3.0.9+nobinonly-0ubuntu0.8.10.1 | ||
| xulrunner-1.9 | 1.9.0.9+nobinonly-0ubuntu0.8.10.1 | ||
| Ubuntu 9.04 : | |||
| abrowser | 3.0.9+nobinonly-0ubuntu0.9.04.1 | ||
| firefox-3.0 | 3.0.9+nobinonly-0ubuntu0.9.04.1 | ||
| xulrunner-1.9 | 1.9.0.9+nobinonly-0ubuntu0.9.04.1 | ||
Après une mise à niveau standard du système, vous devez redémarrer Firefox et toutes les applications qui utilisent Xulrunner, comme Epiphany, pour apporter les modifications nécessaires.
Détails :
Plusieurs failles ont été découvertes dans le moteur du navigateur. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait provoquer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1302, CVE-2009-1303, CVE-2009-1304, CVE-2009-1305)
On a découvert que Firefox affichait certains caractères Unicode qui pouvaient être visuellement confondus avec des signes de ponctuation se trouvant dans des adresses Web valides affichées dans la barre d’adresse. Un attaquant pourrait exploiter cette confusion dans la barre d’adresse, comme dans une attaque de phishing. (CVE-2009-0652)
Plusieurs failles ont été découvertes dans la manière dont Firefox traite les URI mal formées. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait exécuter du JavaScript arbitraire ou dérober des données privées. (CVE-2009-1306, CVE-2009-1307, CVE-2009-1309, CVE-2009-1310, CVE-2009-1312)
Cefn Hoile a découvert que Firefox protégeait pas correctement contre des feuilles de style tierces intégrées. Un attaquant pourrait exploiter ceci pour exécuter des attaques par injection de code en utilisant des liaisons XBL. (CVE-2009-1308)
Paolo Amadini a découvert que Firefox enverrait des données POST en cas de rechargement d’une frame dans une page Web. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait dérober des données privées. (CVE-2009-1311)
Origine : USN-764-1: Firefox and Xulrunner vulnerabilities
Commentaires
Ecrire un commentaire Trackback