Computer Emergency Response Team- Tunisian Coordination Center

Bulletin N° 2007- 033

Objet:

Vulnérabilités découvertes dans :

- Mozilla Thunderbird : Vulnérabilités critiques, qui pourraient être exploitées par des attaquants distants afin d'exécuter des commandes arbitraires ou afin de causer un déni de service.

- Mozilla : Vulnérabilités critiques, qui pourraient être exploitées par des attaquants afin d'exécuter des commandes arbitraires, contourner les mesures de sécurité ou obtenir des informations sensibles.

-Mozilla Thunderbird:

Versions affectées :

Mozilla Thunderbird versions antérieures à 1.5.0.10

Criticité:
Non Critique Moyennement Critique
Critique
Trés Critique

Impact: Exécuter des commandes arbitraires, déni de service, par des attaquants distants

Brève Description:

Les failles sont dues à des erreurs de plusieurs moteurs (e.g. _javascript_ ou SVG) ainsi qu'aux niveaux des services NSS (Network Security Services), l'exploitation de ces vulnérabilités pourraient permettre à un attaquant distant d'exécuter des commandes arbitraires ou afin d'altérer le fonctionnement d'une application vulnérable.

Pour plus de détails :

Solution

Utiliser Mozilla Thunderbird version 1.5.0.10 : http://www.mozilla.org/projects/thunderbird/

Référence CVE:CVE-2007-0008 ,CVE-2007-0775, CVE-2007-0776,CVE-2007-0777
Référence CERT-TCC: CERT-TCC/Vuln.2007-099

- Mozilla :

Versions affectées :

Mozilla Firefox versions antérieures à 2.0.0.2

Mozilla Firefox versions antérieures à 1.5.0.10

Mozilla SeaMonkey versions antérieures à 1.0.8

Network Security Services (NSS) versions antérieures à 3.11.5


Criticité:	Non Critique	Moyennement Critique	Critique	*Trés Critique*

Impact: Exécution des commandes arbitraires, contourner les mesures de sécurité ou obtention des informations sensibles par des attaquants distant

Brève Description:

Les vulnérabilités sont dues à des erreurs de plusieurs moteurs (e.g. _javascript_ ou SVG) ainsi qu'au niveau du traitement de certains tags, documents, popups, ou certificats malformés, l'exploitation de ces failles pourraient permettre à des sites web malicieux d'exécuter des commandes arbitraires, accéder à des données sensibles ou dépasser les restrictions de sécurité.

Pour plus de détails :

http://www.mozilla.org/security/announce/2007/mfsa2007-01.html

http://www.mozilla.org/security/announce/2007/mfsa2007-02.html

http://www.mozilla.org/security/announce/2007/mfsa2007-03.html

http://www.mozilla.org/security/announce/2007/mfsa2007-04.html

http://www.mozilla.org/security/announce/2007/mfsa2007-05.html

http://www.mozilla.org/security/announce/2007/mfsa2007-06.html

http://www.mozilla.org/security/announce/2007/mfsa2007-07.html

http://www.mozilla.org/security/announce/2007/mfsa2007-08.html

Solution

Utiliser Mozilla Firefox version 2.0.0.2 ou 1.5.0.10 :
http://www.mozilla.com/firefox/

Utiliser Mozilla SeaMonkey version 1.0.8 :
http://www.mozilla.org/projects/seamonkey/

Utiliser Network Security Services (NSS) version 3.11.5 :
http://www.mozilla.org/projects/security/pki/nss/

Référence CVE :CVE-2006-6077, CVE-2007-0008, CVE-2007-0775,CVE-2007-0776, CVE-2007-0777 , CVE-2007-0778,CVE-2007-0779, CVE-2007-0780,CVE-2007-0800, CVE-2007-0981,CVE-2007-0995
Référence CERT-TCC: CERT-TCC/Vuln.2007-100

Computer Emergency Response Team - Tunisian Coordination Center
Agence Nationale de la Sécurité Informatique
Ministère les Technologies de la Communication
Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel : 71 843 200
Numéro Vert : 80 100 267
Fax : 71 846 363
Pour vous désinscrire de cette Mailing Liste envoyer "D" à l'adresse suivante desabonnement@xxxxxxx
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@xxxxxxx
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@xxxxxxx