Firefox 2.0.0.10 corrige la faille jar

 

Désormais Firefox 2.0.0.10 est disponible en téléchargement, toujours sur le serveur FTP de Mozilla. Elle est également disponible en mise à jour automatique.

Petit rappel sur la classification des vulnérabilités chez Mozilla :

  • Critical: La vulnérabilité peut être utilisée pour exécuter du code malveillant ou installer un logiciel. Cela ne nécessitant aucune action particulière de la part de l'utilisateur.
  • High: La vulnérabilité peut être utilisée pour recueillir des données sensibles provenant des sites dans d'autres fenêtres ou pour injecter des données ou du code dans ces sites. Cela ne nécessitant aucune action particulière de la part de l'utilisateur.
  • Moderate: Vulnérabilités qui, autrement, seraient Critical ou High, sauf qu'elles n'arrivent pas dans les configurations par défaut ou elles demandent à l'utilisateur d'effectuer des mesures compliquées ou peu probables.
  • Low: Failles mineures de sécurité telles que les attaques de déni de service, des fuites légères de données, ou spoofing. (Les attaques indétectables par spoofing ou par SSL auront un degrés "High" car elles sont généralement utilisées pour voler des données sensibles.)
Les 3 failles corrigées par mozilla sont les suivantes :

MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard

Elles sont toutes les 3 le statut de High.

Le permier correctif :
Gregory Fleischer a démontré qu'il était possible de générer un faux en-tête HTTP Referer, en exploitant une synchronisation lors de la mise en état de la propriété window.location. Cela pourrait être utilisé pour effectuer une "Cross site Request Forgery" (CSRF) attaque contre des sites Web qui ne compte que sur l'en-tête Referer pour ce proteger de telles attaques.

Le second correctif : La mise à jour de Firefox 2.0.0.10 contient des correctifs pour trois bugs. Cela permet d'améliorer la stabilité du produit. Ces bugs ont montré des signes de corruption de mémoire dans certaines circonstances, Mozilla présume que, avec assez d'effort, au moins certains d'entre eux pourraient être exploités pour exécuter du code arbitraire.

Le dernier correctif :
Il corrige la faille sur le protocole jar dont nous vous parlions dans l'article traitant de la version 2.0.0.10. Les notes de versions sont disponibles à cette adresse:
Notes de Version

Pour suivre notre actualité vous pouvez toujours vous abonner à notre flux RSS.


Contenu relié par thématique

Commentaires

Poster un nouveau commentaire

Le contenu de ce champ est gardé secret et ne sera pas montré publiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML permis: <a> <em><cite> <code><center> <ul><img> <ol> <li> <dl> <dt> <dd><p><br>

Plus d'informations sur les options de formatage

CAPTCHA
Désolé, trop de robots veulent entrer sur ce site... ;)
three times equals twelve
Solve this math question and enter the solution with digits. E.g. for "two plus four = ?" enter "6".