Mozilla Suite/Firefox/Thunderbird Code Execution Vulnerabilities

Date de Publication : 2005-03-24 © K-OTik.COM - Voir Notice Légale 
Titre: Mozilla Suite/Firefox/Thunderbird Code Execution Vulnerabilities
K-OTik ID : AVIS-2005-0296
CVE : CAN-2005-0399 - CAN-2005-0401 - CAN-2005-0402
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui

* Description Technique *
Plusieurs vulnérabilités ont été identifiées dans Mozilla Suite, Firefox et Thunderbird, elles pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable ou passer outre les restrictions sécuritaires. Le premier problème résulte d'une erreur de type "heap overrun" présente au niveau de la gestion de certaines images GIF forgées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes via une page web ou un email malicieux. Deux autres vulnérabilités mineures ont été corrigées, elles pourraient être exploitées afin de contourner les restrictions sécuritaires et injecter du code javascript coté client.

* Versions Vulnérables *

Mozilla Firefox version 1.0.1 et inférieures
Mozilla Suite version 1.7.5 et inférieures
Mozilla Thunderbird version 1.0.1 et inférieures

* Solution *

Mozilla Firefox version 1.0.2
Mozilla Suite version 1.7.6
Mozilla Thunderbird version 1.0.2

* Références *

http://www.k-otik.com/bugtraq/bulletins/1013
https://bugzilla.mozilla.org/show_bug.cgi?id=284627
https://bugzilla.mozilla.org/show_bug.cgi?id=285595
https://bugzilla.mozilla.org/show_bug.cgi?id=285438
http://xforce.iss.net/xforce/alerts/id/191

* Crédit *

Vulnérabilités découvertes par Mark Dowd, Kohei Yoshino et Michael Krax

* ChangeLog *

2005-03-24 : Version Initiale

Nombre de commentaires (0) - Ajoutez vos commentaires à cet article...