CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection
?
|
09/22/2015 |
Sévérité
?
|
Critique |
Description
|
Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, contourner les restrictions de sécurité, obtenir des privilèges, usurper l'interface utilisateur, impacter les fichiers locaux, exécuter du code arbitraire ou obtenir des informations sensibles. Voici une liste complète des vulnérabilités
Détails techniques Vulnérabilité (2) liée à la fuite de données après la fin du tableau. Caractéristique qui mène à la vulnérabilité utilisée par Firefox OS et désactivée par défaut pour les autres systèmes d'exploitation. (3) lié à la bibliothèque de gestion des couleurs QCMS et peut être déclenché par des attributs spécifiques au profil d'image ICC V4. Si l'URL est collée avec un protocole inconnu, l'URL collée est affichée mais aucune navigation ne se produit. Les autres attributs de la barre d'adresse présents avant le collage de l'URL continueront le rendu. Quelle est la cause de la vulnérabilité (4) . Cette vulnérabilité affecte uniquement Firefox pour Android. (5) causé par la possibilité d'effectuer Mozilla updater pour charger les fichiers mis à jour à partir du répertoire de travail qui est sous le contrôle de l'utilisateur. Cette vulnérabilité n'est effective que pour les systèmes Windows. La vulnérabilité (7) se produit uniquement lorsque le débogueur est en cours d'utilisation mais peut être potentiellement exploitable. (8) permet d'usurper l'URL mais les effets potentiels sont atténués avec les restrictions du mode lecteur. (10) causé par la bibliothèque nestegg et peut être déclenché via des en-têtes spécialement conçus dans la vidéo WebM. Une vulnérabilité (12) a provoqué la création d'une bibliothèque graphique cairo lorsque des surfaces créées avec une profondeur de couleur de 32 bits, mais affichées sur un système de profondeur de couleurs 16 bits. De cette façon, un attaquant peut obtenir des informations en mémoire après un tas de mémoire de surface de 16 bits. Cette vulnérabilité peut être exploitée uniquement sur Linux. (13) se produit lorsque la page Web a créé un proxy scripté pour la fenêtre avec une référence de gestionnaire spécialement conçue pour la fenêtre interne. Vulnérabilité (14) provoquée par l'API ECMAScript 5, qui applique des propriétés non configurables avec une logique spécifique à chaque API. Script qui contournant API van contourner la protection et apporter des modifications aux propriétés immuables. (15) causé par la situation où l'image précédemment chargée glissait-n-drop dans le contenu après la redirection. Dans ce cas, l'URL redirigée est disponible pour les scripts. Dans certaines circonstances, la même clé de cache peut être générée pour deux demandes de contrôle en amont sur un site. Par conséquent, la requête correspond à la clé mise en cache qui contournera la vérification CORS menant à (16) . (17) se rapportant aux en-têtes de contrôle d'accès, valeurs qui peuvent être incorrectement réutilisées si elles sont manquées dans les réponses CORS. (18) décrit plusieurs vulnérabilités sur Network Utils.cpp, ConvertFialogOptinos, nsUnicodeToUTF8 :: GetMaxLength, nsAttrAndChildArray :: GrowBy, XULContentSinkImpl :: AddText, AnimationThread, InitTextures et ReadbackResultWriterD3D11: Run. (19) causé par la vérification des limites manquantes et l'allocation insuffisante de la mémoire dans les parties libGLES de la bibliothèque graphique ANGLE utilisée pour le contenu WebGL et OpenGL. Cette vulnérabilité affecte uniquement les systèmes Windows. performance.now () utilise une résolution d'une nanoseconde pour le chronométrage, ce qui rend possible le suivi de l'accès au cache de dernier niveau et à d'autres informations sensibles telles que la fréquence de comptage de Windows. La vulnérabilité (20) causée par les circonstances énumérées ci-dessus a été corrigée en réduisant la résolution à 5 microsecondes. La fréquence de comptage de Windows n'affecte pas les systèmes autres que Windows. |
Produits concernés
|
Les versions de Mozilla Firefox antérieures à 41 |
Solution
|
Mettre à jour à la dernière version |
Fiches de renseignement originales
|
|
Impacts
?
|
WLF
[?] SUI [?] ACE [?] OSI [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4476 |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des vulnérabilités dans votre région |