Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox et Seamonkey, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, causer un déni de service ou compromettre un système vulnérable.
Le premier problème résulte d'erreurs de corruption de mémoire présentes au niveau du traitement de données malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web malicieuse. Aucun détail technique n'a été révélé.
La seconde vulnérabilité est causée par une erreur présente au niveau de la gestion de la propriété "window.location", ce qui pourrait être exploité afin de conduire des attaques de type CSRF (conduct cross-site request forgery).
La troisième faille se situe au niveau du gestionnaire de protocole "jar:". Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2007-3818
Crédit
Vulnérabilités découvertes par Jesse Ruderman, Petko D. Petkov, beford.org et Gregory Fleischer.
Historique
2007-11-26 : Version Initiale
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
