|
L’agence nationale de sécurité
informatique vient d’envoyer un mail collectif avertissant sur une
vulnérabilité découverte dans le navigateur Mozilla Firefox pour les
versions antérieures à 2.0.0.5. Ces vulnérabilités critiques pourraient être
exploitées par des attaquants afin de contourner les mesures de sécurité,
obtenir des informations sensibles, causer un déni de service ou exécuter
des commandes arbitraires, avertit l’ANSI.
Les failles sont dues à plusieurs erreurs.
– Une erreur de gestion de certaines données malformées aux niveaux de
plusieurs moteurs (e.g. JavaScript) , l’exploitation de cette faille
pourrait permettre à des attaquants de causer un déni de service ou exécuter
des commandes arbitraires avec les privilèges de l’utilisateur connecté.
– Une erreur de traitement au niveau des éléments “addEventListener” et “setTimeout”,
l’exploitation de cette faille pourrait permettre à des attaquants
d’injecter un code JavaScript malicieux coté client.
– Une erreur de gestion au niveau des pages “about:blank”, l’exploitation de
cette vulnérabilité pourrait permettre à des attaquants d’usurper l’identité
d’une page arbitraire.
– Une erreur de traitement de certains éléments malformés, l’exploitation de
cette faille pourrait permettre à des attaquants d’exécuter un code
arbitraire. -Une erreur de gestion au niveau des noms de fichiers contenant
la chaîne “%00”, l’exploitation de cette faille pourrait permettre à des
attaquants de contourner les mesures de sécurité.
– Une erreur au niveau de l’accès à des documents “wyciwyg://”,
l’exploitation de cette faille pourrait permettre à des attaquants d’accéder
à des données arbitraires.
– Une erreur au niveau de la gestion de l’objet “XPCNativeWrapper”,
l’exploitation de cette vulnérabilité pourrait permettre à des attaquants
d’exécuter un code arbitraire. Pour y remédier, il faut installer les
nouvelles versions du navigateur que l’on retrouve notamment sur le lien
http://www.mozilla.com/firefox/
|
