Neuf vulnérabilités ont été identifiées dans Mozilla Suite et Firefox, elles pourraient être exploitées par des sites malicieux afin de compromettre un système vulnérable ou réaliser des attaques par Cross Site Scripting. Le premier problème résulte d'une erreur de permissions présente au niveau de la gestion de certains DOMs (Document Object Model), ce qui pourrait être exploité afin d'exécuter des commandes arbitraires via un lien forgé. La seconde vulnérabilité résulte d'une erreur présente au niveau de la gestion de certains objets javascript liés à l'implémentation d'InstallTrigger, ce qui pourrait être exploité afin d'accéder à des parties arbitraires de la mémoire. La troisième faille est liée au tag "_search" qui n'est pas correctement filtré, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires sans aucune interaction de la part de l'utilisateur. Le quatrième problème est due à une erreur de type Cross Site Scripting présente aux niveaux de certains plugins de recherche. La cinquième faille est due à une erreur présente au niveau de la gestion des "favicons" et des tags "LINK", ce qui pourrait être exploité afin d'exécuter des commandes arbitraires. Les trois autres vulnérabilités résultent d'erreurs multiples présentes au niveau de la gestion de certains codes javascript malicieusement construits, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires, conduire des attaques par Cross Site Scripting ou accéder à des portions de la mémoire.
Crédit
Vulnérabilités identifiées par moz_bug_r_a4, Georgi Guninski, Kohei Yoshino, Michael Krax, Doron Rosenberg, Omar Khan, Azafra et Vladimir V. Perepelitsa
Historique
2005-04-16 : Version Initiale
2005-04-21 : Netscape vulnérable
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
