USN-896-1 : Vulnérabilités dans Firefox 3.5 et Xulrunner 1.9.1

février 18, 2010 Bernard Pas de commentaires

Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Ubuntu 9.10 :
	firefox-3.5	3.5.8+build1+nobinonly-0ubuntu0.9.10.1
	xulrunner-1.9.1	1.9.1.8+build1+nobinonly-0ubuntu0.9.10.1

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Plusieurs failles ont été découvertes dans le moteur du navigateur de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0159)

Orlando Barrera II a découvert une faille dans l’implémentation des « web-workers » de Firefox. Si un utilisateur était amené à publier sur un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0160)

Alin Rad Pop a découvert que l’analyseur HTML de Firefox ne libérait pas correctement la mémoire dans certaines circonstances. Si le navigateur pouvait être amené à accéder à ces objets mémoire libérés, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1571)

Hidetake Jo a découvert que le showModalDialog de Firefox n’honorait pas toujours la règle de même origine. Un attaquant local pourrait exploiter ceci pour exécuter du JavaScript non fiable provenant d’autres domaines. (CVE-2009-3988)

Georgi Guninski a découvert que la vérification de même origine pouvait être contournée dans Firefox en utilisant une image SVG spécialement conçue. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour lire des données à partir d’autres domaines. (CVE-2010-0162)

Origine : USN-896-1: Firefox 3.5 and Xulrunner 1.9.1 vulnerabilities

lost+found Firefox, HTML, sécurité, showModalDialog, SVG, Ubuntu, vulnérabilité, Web worker, Xulrunner

Le blog de Bernard Opic

USN-896-1 : Vulnérabilités dans Firefox 3.5 et Xulrunner 1.9.1

Commentaires

Déposer un commentaire

Bio, Contact & Co

Posts récents

Commentaires récents