USN-920-1 : Vulnérabilités dans Firefox 3.0 et Xulrunner

avril 29, 2010 Bernard Pas de commentaires

Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Ubuntu 8.04 LTS :
  firefox-3.0                     3.0.19+nobinonly-0ubuntu0.8.04.1
  xulrunner-1.9                   1.9.0.19+nobinonly-0ubuntu0.8.04.1

Ubuntu 8.10 :
  abrowser                        3.0.19+nobinonly-0ubuntu0.8.10.1
  firefox-3.0                     3.0.19+nobinonly-0ubuntu0.8.10.1
  xulrunner-1.9                   1.9.0.19+nobinonly-0ubuntu0.8.10.1

Ubuntu 9.04 :
  abrowser                        3.0.19+nobinonly-0ubuntu0.9.04.1
  firefox-3.0                     3.0.19+nobinonly-0ubuntu0.9.04.1
  xulrunner-1.9                   1.9.0.19+nobinonly-0ubuntu0.9.04.1

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Martijn Wargers, Josh Soref, Jesse Ruderman et Ehsan Akhgari ont découvert des failles dans le moteur du navigateur de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0174)

Il a été découvert que Firefox pouvait être amené à accéder à de la mémoire préalablement libérée. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0175, CVE-2010-0176, CVE-2010-0177)

Paul Stone a découvert que Firefox pouvait être amené à transformer un clic de souris en un évènement glisser/déposer. Si l’utilisateur pouvait être amené à effectuer deux fois cette action sur un site Web spécialement conçu, un attaquant pourrait exécuter du code JavaScript arbitraire avec les privilèges de Chrome. (CVE-2010-0178)

Il a été découvert que le module XMLHttpRequestSpy tel qu’il est utilisé par l’extension Firebug pouvait être utilisé pour augmenter les privilèges dans le navigateur. Si un utilisateur avait l’extension Firebug installée et s’il était amené à visiter un site Web malveillant, un attaquant pourrait potentiellement exécuter du code JavaScript arbitraire. (CVE-2010-0179)

Origine : USN-920-1: Firefox 3.0 and Xulrunner vulnerabilities

lost+found Firebug, Firefox, sécurité, Ubuntu, vulnérabilité, XMLHttpRequestSpy, Xulrunner

Le blog de Bernard Opic

USN-920-1 : Vulnérabilités dans Firefox 3.0 et Xulrunner

Commentaires

Déposer un commentaire

Bio, Contact & Co

Posts récents

Commentaires récents