Plusieurs vulnérabilités ont été identifiées dans Mozilla, Mozilla Firefox, et Thunderbird, elles pourraient être exploitées par un attaquant distant afin d'accéder à des informations sensibles ou compromettre un système vulnérable. (Note - Netscape 7.2 est vulnérable aux failles 1,2,3,5,6,7).

au sommaire

    Mozilla

    Mozilla

    1) Plusieurs erreurs de type heap overflow existent dans "nsMsgCompUtils.cpp", ce qui pourrait être exploité via un email malicieux afin d'exécuter des commandes arbitraires distantes.

    2) Mauvaises restrictions au niveau de la gestion des événements javascript, ce qui pourrait être exploité afin d'accéder au presse-papier (clipboard) en lecture/écriture.

    3) Plusieurs erreurs de type stack overflow existent dans la fonction "writeGroup()" nsVCardObj.cpp, ce qui pourrait être exploité via un fichier vcard malicieux afin d'exécuter des commandes arbitraires distantes.

    4) Plusieurs erreurs de type bufferbuffer overflow existent dans "nsPop3Protocol.cpp, ce qui pourrait être exploité via un serveur POP3POP3 malicieux afin d'exécuter des commandes arbitraires distantes.

    5) Plusieurs erreurs de type buffer overflow existent au niveau de la manipulation des liens contenant une longue chaîne de caractères non-ASCII, ce qui pourrait permettre l'exécution de commandes arbitraires distantes.

    6) Plusieurs erreurs de type integer overflow existent au niveau de la manipulation des images BMP, ce qui pourrait permettre l'exécution de commandes arbitraires distantes.

    7) Plusieurs erreurs existent au niveau de la procédure "drag", ce qui pourrait être exploité par un site malicieux.

    8) Plusieurs erreurs existent au niveau de gestion de scripts "Signés", ce qui pourrait être exploité par un site malicieux afin de passer outre les restrictions sécuritaires.

    9) Mauvaises restrictions et mauvaises permissions aux niveaux des fichiers d'installation LinuxLinux, ce qui pourrait être exploité par un utilisateur local afin de remplacer des fichiers arbitraire.

    Versions Vulnérables

    Mozilla Firefox 0.9 et inférieures
    Mozilla Thunderbird 0.7 et inférieures
    Mozilla 1.7.2 et inférieures
    Mozilla 1.6
    Mozilla 1.5
    Mozilla 1.4
    Mozilla 1.3
    Mozilla 1.2
    Mozilla 1.1
    Mozilla 1.0
    Mozilla 0.x

    Netscape 7.2 et inférieures

    Solution

    Mozilla 1.7.3
    Firefox 1.0PR
    Thunderbird 0.8
    Aucune solution officielle pour Netscape.

    Résumé d'après K-Otik