La fondation Mozilla vient de publier une nouvelle version de ses navigateurs Mozilla Suite et Firefox, corrigeant quatre vulnérabilités critiques qui pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.

au sommaire

    Firefox 1.0.4 dans les bacs : correction des failles

    Firefox 1.0.4 dans les bacs : correction des failles

    - Le premier problème résulte d'une erreur de validation d'entrées présente au niveau de la gestion des urls "javascript:" incluses avec les pseudo-protocoles "view-source:" et "jar:", ce qui pourrait être exploité via un site web malicieux afin de conduire des attaques par Cross Site ScriptingCross Site Scripting et exécuter des commandes arbitraires. Cette faille est une variante de la vulnérabilité "favicon".

    - La seconde vulnérabilité est due à une erreur présente au niveau de la gestion des objets Javascript eval et Script qui sont exécutés avec des privilèges élevés, ce qui pourrait être exploité par un attaquant distant afin de compromettre un système vulnérable. Cette faille est une variante de la vulnérabilité "DOM".

    - Deux autres vulnérabilités critiques ont été identifiées et corrigées. (NDLRNDLR de FS : il s'agit des deux failles récemment décrites qui pouvaient conduire à un téléchargement de mise à jour hostile par un site non autorisé. Comme d'habitude la réaction a été rapide.)

    Versions Vulnérables

    Firefox version 1.0.3 et inférieures
    Mozilla Suite version 1.7.7 et inférieures

    Solution

    Firefox 1.0.4 ou Mozilla Suite 1.7.8