Détails:
Plusieurs vulnérabilités ont été découvertes dans Mozilla. Celles-ci peuvent être exploitées par une personne malicieuse pour contourner certaines restrictions de sécurité, effectuer des attaques de type Cross-Site Scripting (CSS), et compromettre le système d'un utilisateur.

1) Une erreur dans la manière dont des événements peu fiables générés par le contenu web sont donnés au navigateur a divers impacts.

Ceci est liée à le seconde vulnérabilité de cet avis :
http://www.zone-h.fr/fr/advisories/read/id=152/

2) Des scripts dans les contrôles XBL peuvent être exécutés même si JavaScript a été désactivé.

3) Une erreur, où la fonction callback de la fonction "InstallTrigger.install()" n'est pas correctement effacée avant de naviguer dans un nouveau site, pourrait être exploitée afin d'exécuter des scripts arbitraires dans la session du navigateur d'un utilisateur, dans le contexte d'un site arbitraire.

L'exploitation réussie nécessite que le site web malicieux ait été ajouté à
la liste "Sites autorisés".

4) Une erreur de validation des données dans la manipulation d'objets JavaScript passés ) la fonction "InstallVersion.compareTo()" pourrait être exploitée afin d'exécuter du code arbitraire.

5) Une erreur lors de la manipulation des noms des noeuds DOM avec
différents namespaces peut être exploitée pour exécuter des scripts
arbitraires avec une élévation de privilèges par l'intermédiaire d'un
document XHTML spécialement conçu.

L'exploitation réussie permet l'exécution de code arbitraire.

6) Une erreur due à le copie non sécurisée des objets de base peut être
exploitée pour exécuter des scripts arbitraires avec une élévation de
privilèges.

7) Les propriétés DHTML "frames", "parent", "self" et "top" ne sont pas correctement protégées afin de ne pas être modifiées par un autre site via JavaScript. Cela pourrait être exploité afin d'exécuter du code HTML ou des scripts arbitraires dans la session du navigateur d'un utilisateur, dans le contexte d'un site arbitraire, qui appelle une méthode dans l'une des propriétés modifiées.

8) Une vulnérabilité peut être exploitée par des sites web malicieux pour spoofer des boîtes de dialogue.

Pour plus d'informations, voir:
http://www.zone-h.fr/fr/advisories/read/id=306/

9) Une vulnérabilité a été ré-introduite dans Mozilla, celle-ci pourrait être exploitée par des personnes malicieuses afin de "spoofer" le contenu de sites web.

http://www.zone-h.fr/fr/advisories/read/id=268/

Solution:
Mettre à jour à la version 1.7.9.

Références:
http://secunia.com/advisories/16059/
1) http://www.mozilla.org/security/announce/mfsa2005-45.html Avis Original
2) http://www.mozilla.org/security/announce/mfsa2005-46.html Avis Original
3) http://www.mozilla.org/security/announce/mfsa2005-48.html Avis Original
4) http://www.mozilla.org/security/announce/mfsa2005-50.html Avis Original
5) http://www.mozilla.org/security/announce/mfsa2005-55.html Avis Original
6) http://www.mozilla.org/security/announce/mfsa2005-56.html Avis Original
7) http://www.mozilla.org/security/announce/mfsa2005-52.html Avis Original
7) http://secunia.com/advisories/15551/ Avis Original (Secunia Research)
8) http://www.mozilla.org/security/announce/mfsa2005-54.html Avis Original
8) http://www.zone-h.fr/fr/advisories/read/id=306/
9) http://www.mozilla.org/security/announce/mfsa2005-51.html Avis Original
9) http://www.zone-h.fr/fr/advisories/read/id=268/

  En parler sur le forum...
  S'inscrire à la liste de diffusion...