Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| firefox-3.0 | 3.0.18+build1+nobinonly-0ubuntu0.8.04.1 | ||
| xulrunner-1.9 | 1.9.0.18+build1+nobinonly-0ubuntu0.8.04.1 | ||
| Ubuntu 8.10 : | |||
| abrowser | 3.0.18+build1+nobinonly-0ubuntu0.8.10.1 | ||
| firefox-3.0 | 3.0.18+build1+nobinonly-0ubuntu0.8.10.1 | ||
| xulrunner-1.9 | 1.9.0.18+build1+nobinonly-0ubuntu0.8.10.1 | ||
| Ubuntu 9.04 : | |||
| abrowser | 3.0.18+build1+nobinonly-0ubuntu0.9.04.1 | ||
| firefox-3.0 | 3.0.18+build1+nobinonly-0ubuntu0.9.04.1 | ||
| xulrunner-1.9 | 1.9.0.18+build1+nobinonly-0ubuntu0.9.04.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.
Détails :
Plusieurs failles ont été découvertes dans le moteur du navigateur de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0159)
Orlando Barrera II a découvert une faille dans l’implémentation des « web-workers » de Firefox. Si un utilisateur était amené à publier sur un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0160)
Alin Rad Pop a découvert que l’analyseur HTML de Firefox ne libérait pas correctement la mémoire dans certaines circonstances. Si le navigateur pouvait être amené à accéder à ces objets mémoire libérés, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1571)
Hidetake Jo a découvert que le showModalDialog de Firefox n’honorait pas toujours la règle de même origine. Un attaquant local pourrait exploiter ceci pour exécuter du JavaScript non fiable provenant d’autres domaines. (CVE-2009-3988)
Georgi Guninski a découvert que la vérification de même origine pouvait être contournée dans Firefox en utilisant une image SVG spécialement conçue. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour lire des données à partir d’autres domaines. (CVE-2010-0162)
Origine : USN-895-1: Firefox 3.0 and Xulrunner 1.9 vulnerabilities
Commentaires
Ecrire un commentaire Trackback