Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| firefox-3.0 | 3.0.11+build2+nobinonly-0ubuntu0.8.04.1 | ||
| xulrunner-1.9 | 1.9.0.11+build2+nobinonly-0ubuntu0.8.04.1 | ||
| Ubuntu 8.10 : | |||
| abrowser | 3.0.11+build2+nobinonly-0ubuntu0.8.10.1 | ||
| firefox-3.0 | 3.0.11+build2+nobinonly-0ubuntu0.8.10.1 | ||
| xulrunner-1.9 | 1.9.0.11+build2+nobinonly-0ubuntu0.8.10.2 | ||
| Ubuntu 9.04 : | |||
| abrowser | 3.0.11+build2+nobinonly-0ubuntu0.9.04.1 | ||
| firefox-3.0 | 3.0.11+build2+nobinonly-0ubuntu0.9.04.1 | ||
| xulrunner-1.9 | 1.9.0.11+build2+nobinonly-0ubuntu0.9.04.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner, telles que Epiphany, pour apporter les modifications nécessaires.
Détails :
Plusieurs failles ont été découvertes dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1392, CVE-2009-1832, CVE-2009-1833, CVE-2009-1837, CVE-2009-1838)
Pavel Cvrcek a découvert que Firefox affichait de temps en temps un espace à la place de caractères Unicode incorrects. Un attaquant pourrait exploiter ceci pour falsifier le contenu de la barre d’adresse, comme dans une attaque de phishing. (CVE-2009-1834)
Gregory Fleischer, Adam Barth et Collin Jackson ont découvert que Firefox permettait d’accéder à des fichiers locaux à partir de ressources chargées via la protocole file:. Si un utilisateur était amené à télécharger et à ouvrir un fichier malveillant, un attaquant pourrait dérober des informations potentiellement sensibles. (CVE-2009-1835, CVE-2009-1839)
Shuo Chen, Ziqing Mao, Yi-Min Wang, et Ming Zhang ont découvert que Firefox ne gérait pas correctement les réponses d’erreur lors de la connexion à un serveur mandataire. Si un attaquant était à même de faire une attaque de l’homme du milieu, cette faille pourrait être exploitée pour visualiser des informations sensibles. (CVE-2009-1836)
Wladimir Palant a découvert que Firefox ne vérifiait pas les règles de chargement de contenu lors du chargement de fichiers de script externes dans des documents XUL. Par conséquent, Firefox pourrait charger du contenu malveillant dans certaines conditions. (CVE-2009-1840)
Il a été découvert que Firefox pouvait exécuter des scripts avec des privilèges utilisateur élevés. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait forcer un objet chrome privilégié, tel que la barre latérale du navigateur, à exécuter du code arbitraire via des interactions avec le site Web contrôlé par l’attaquant. (CVE-2009-1841)
Origine : USN-779-1: Apache vulnerabilities (http://www.ubuntu.com/usn/usn-779-1)
Commentaires
Ecrire un commentaire Trackback