CERTA-2005-AVI-148
Vulnerability from certfr_avis - Published: 2005-04-18 - Updated: 2005-05-17
Plusieurs vulnérabilités découvertes dans les produits Mozilla permettent à un utilisateur mal intentionné d'exécuter du code arbitraire, de contourner la politique de sécurité ou d'effectuer des attaques de type cross site scripting.
Description
- Une vulnérabilité découverte dans Firefox permet à un utilisateur mal intentionné d'exécuter du code arbitraire par le seul fait d'inciter l'utilisateur à installer manuellement des modules manquants (MFSA 2005-34) ;
- une vulnérabilité découverte dans les produits Mozilla permet à un individu d'exécuter du code arbitraire, en incitant l'utilisateur à afficher une fenêtre popup (initialement bloquée) dont l'adresse réticulaire est malicieusement constituée (MFSA 2005-35) ;
- une vulnéraibilité dans les produits Mozilla permet à un utilisateur distant mal intentionné d'effectuer des attaques de type cross site scripting au moyen d'un site web malicieusement construit (MFSA 2005-36) ;
- une vulnérabilité dans les produits Mozilla permet à un individu mal intentionné d'exécuter du code arbitraire sur le système vulnérable (MFSA 2005-37) ;
- une vulnérabilité découverte dans les produits Mozilla permet à un individu malveillant d'exécuter du code arbitraire au moyen d'un adresse réticulaire malicieusement constituée, initialement destinée à effectuer une recherche de modules manquants (MFSA 200-38) ;
- une vulnérabilité affectant Firefox permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance au moyen d'une adresse réticulaire malicieusement construite (MFSA 2005-39) ;
- une vulnérabilité découverte dans les objets javascript suivants : InstallTrigger et XPInstall-related. Cette vulnérabilité permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur le système vulnérable (MFSA 2005-40) ;
- une vulnérabilité affectant les produits Mozilla permet à un utilisateur mal intentionné d'exécuter du code arbitraire. L'exploitation de cette vulnérabilité nécessite l'interaction de la victime (MFSA 2005-41).
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documenation).
-
Mise à jour de sécurité Firefox 1.0.3 :
http://www.mozilla.org/products/firefox/ -
Mise à jour de sécurité Mozilla 1.7.7 :
http://www.mozilla.org/products/mozilla1.x/
Impacted products
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Mozilla Firefox 1.0.2 et versions ant\u00e9rieures ;",
"product": {
"name": "Firefox",
"vendor": {
"name": "Mozilla",
"scada": false
}
}
},
{
"description": "Mozilla Suite 1.7.6 et versions ant\u00e9rieures.",
"product": {
"name": "N/A",
"vendor": {
"name": "Mozilla",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\n- Une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans Firefox permet \u00e0 un utilisateur\n mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire par le seul fait\n d\u0027inciter l\u0027utilisateur \u00e0 installer manuellement des modules\n manquants (MFSA 2005-34) ;\n- une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans les produits Mozilla permet \u00e0 un\n individu d\u0027ex\u00e9cuter du code arbitraire, en incitant l\u0027utilisateur \u00e0\n afficher une fen\u00eatre popup (initialement bloqu\u00e9e) dont l\u0027adresse\n r\u00e9ticulaire est malicieusement constitu\u00e9e (MFSA 2005-35) ;\n- une vuln\u00e9raibilit\u00e9 dans les produits Mozilla permet \u00e0 un utilisateur\n distant mal intentionn\u00e9 d\u0027effectuer des attaques de type cross site\n scripting au moyen d\u0027un site web malicieusement construit (MFSA\n 2005-36) ;\n- une vuln\u00e9rabilit\u00e9 dans les produits Mozilla permet \u00e0 un individu mal\n intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire sur le syst\u00e8me vuln\u00e9rable\n (MFSA 2005-37) ;\n- une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans les produits Mozilla permet \u00e0 un\n individu malveillant d\u0027ex\u00e9cuter du code arbitraire au moyen d\u0027un\n adresse r\u00e9ticulaire malicieusement constitu\u00e9e, initialement destin\u00e9e\n \u00e0 effectuer une recherche de modules manquants (MFSA 200-38) ;\n- une vuln\u00e9rabilit\u00e9 affectant Firefox permet \u00e0 un utilisateur mal\n intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance au moyen d\u0027une\n adresse r\u00e9ticulaire malicieusement construite (MFSA 2005-39) ;\n- une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans les objets javascript suivants :\n InstallTrigger et XPInstall-related. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un\n utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire\n sur le syst\u00e8me vuln\u00e9rable (MFSA 2005-40) ;\n- une vuln\u00e9rabilit\u00e9 affectant les produits Mozilla permet \u00e0 un\n utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire.\n L\u0027exploitation de cette vuln\u00e9rabilit\u00e9 n\u00e9cessite l\u0027interaction de la\n victime (MFSA 2005-41).\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documenation).\n\n- Mise \u00e0 jour de s\u00e9curit\u00e9 Firefox 1.0.3 :\n\n http://www.mozilla.org/products/firefox/\n\n- Mise \u00e0 jour de s\u00e9curit\u00e9 Mozilla 1.7.7 :\n\n http://www.mozilla.org/products/mozilla1.x/\n",
"cves": [],
"initial_release_date": "2005-04-18T00:00:00",
"last_revision_date": "2005-05-17T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005-383-07 du 21 avril 2005 :",
"url": "http://rhn.redhat.com/errata/RHSA-2005-38r34.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2005:028 du 27 avril 2005 :",
"url": "http://www.novell.com/linux/security/advisories/2005_28_mozilla_firefox.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-35 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-35.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-38 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-38.html"
},
{
"title": "Site Internet de l\u0027\u00e9diteur :",
"url": "http://www.mozilla.org"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005-386-08 du 26 avril 2005 :",
"url": "http://rhn.redhat.com/errata/RHSA-2005-386.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-34 du 16 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-34.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-40 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-40.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-36 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-36.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-37 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-37.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-41 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-41.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:088 du 13 mai 2005 :",
"url": "http://www.mandriva.com/security/advisories?name=MDKSA-2005:088"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mozilla Foundation #2005-39 du 15 avril 2005 :",
"url": "http://www.mozilla.org/security/announce/mfsa2005-39.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005-384-11 du 28 avril 2005 :",
"url": "http://rhn.redhat.com/errata/RHSA-2005-384.html"
}
],
"reference": "CERTA-2005-AVI-148",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2005-04-18T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences CVE et des bulletins de s\u00e9curit\u00e9 Mandriva, RedHat et SuSE.",
"revision_date": "2005-05-17T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Vuln\u00e9rabilit\u00e9 de type cross site scripting"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans les produits Mozilla\npermettent \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\narbitraire, de contourner la politique de s\u00e9curit\u00e9 ou d\u0027effectuer des\nattaques de type cross site scripting.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s des produits Mozilla",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletins de s\u00e9curit\u00e9 Mozilla Foundation du 15 et 16 avril 2005",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…