Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| firefox-3.0 | 3.0.14+build2+nobinonly-0ubuntu0.8.04.1 | ||
| xulrunner-1.9 | 1.9.0.14+build2+nobinonly-0ubuntu0.8.04.1 | ||
| Ubuntu 8.10 : | |||
| abrowser | 3.0.14+build2+nobinonly-0ubuntu0.8.10.1 | ||
| firefox-3.0 | 3.0.14+build2+nobinonly-0ubuntu0.8.10.1 | ||
| xulrunner-1.9 | 1.9.0.14+build2+nobinonly-0ubuntu0.8.10.1 | ||
| Ubuntu 9.04 : | |||
| abrowser | 3.0.14+build2+nobinonly-0ubuntu0.9.04.1 | ||
| firefox-3.0 | 3.0.14+build2+nobinonly-0ubuntu0.9.04.1 | ||
| xulrunner-1.9 | 1.9.0.14+build2+nobinonly-0ubuntu0.9.04.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner, telles que Epiphany, pour apporter les modifications nécessaires.
Détails :
Plusieurs failles ont été découvertes dans le navigateur Firefox et les moteurs JavaScript. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3070, CVE-2009-3071, CVE-2009-3072, CVE-2009-3074, CVE-2009-3075)
Jesse Ruderman et Dan Kaminsky ont découvert que Firefox n’informait les utilisateurs de manière adéquate lorsque des modules étaient ajoutés ou retirés via PKCS11. Si un utilisateur visitait un site Web malveillant, un attaquant distant pourrait exploiter ceci pour installer un module PKCS11 malveillant. (CVE-2009-3076)
Il a été découvert que Firefox ne gérait pas correctement la mémoire lorsqu’il utilisait des éléments d’une arborescence XUL. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3077)
Juan Pablo Lopez Yacubian a découvert que Firefox n’affichait pas correctement certains caractères Unicode dans la barre d’adresse et autres champs texte lorsque une fonte particulière ne faisant pas partie de Ubuntu était utilisée. Si un utilisateur configurait Firefox pour utiliser cette fonte, un attaquant distant pourrait exploiter ceci pour falsifier la barre d’adresse, comme dans un attaque par hameçonnage. (CVE-2009-3078)
On a découvert que l’objet BrowserFeedWriter de Firefox pourrait être subverti pour exécuter du code JavaScript provenant d’un contenu Web avec les privilèges élevés de Chrome. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3079)
Origine : USN-821-1: Firefox and Xulrunner vulnerabilities
Commentaires
Ecrire un commentaire Trackback