CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection
?
|
11/03/2015 |
Sévérité
?
|
Critique |
Description
|
Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, usurper l'interface utilisateur, contourner les restrictions de sécurité, exécuter du code arbitraire ou obtenir des informations sensibles. Voici une liste complète des vulnérabilités
Détails techniques Vulnérabilité (2) provoquée par l'envoi de messages de type 3 lors de l'échange d'authentification. qui, à son tour, est provoqué par le remplissage du champ de poste de travail avec le nom d'hôte du système qui demande l'authentification HTTP basée sur NTLM. Cette vulnérabilité a été réduite car NTLM v1 est désactivé par défaut. Le mode Lecteur désactive les scripts pour les pages rendues via une liste witeliste de contenu HTML autorisé. Vulnérabilité (3) provoquée par une liste blanche trop permissive. Vulnérabilité (4) causée par la restauration de la barre d'adresse lorsque la fenêtre est redessinée du mode plein écran au mode normal. Un comportement vulnérable peut être déclenché puis exploité par un script. Le fichier HTML enregistré localement peut utiliser le fichier: URI pour déclencher le téléchargement de fichiers supplémentaires ou l'ouverture de données de profil mises en cache sans que l'utilisateur en soit conscient. (5) Lorsqu'un panneau est créé à l'aide du SDK add-on, définir le panneau avec le script: false est supposé désactiver l'exécution du script. Mais il a été trouvé que le script en ligne serait toujours exécuté. Ce comportement provoque une vulnérabilité (6) . les add-ons servis depuis addons.mozilla.org ne sont pas vulnérables pour (6) mais les sites tiers peuvent être desservis. La vulnérabilité (7) causée par les espaces de fin de fichier est évaluée différemment lors de l'analyse de l'adresse IP au lieu des noms d'hôtes alphanumériques. Firefox peut être enregistré pour être utilisé par le moteur de recherche via l'intention Android. Lorsque Firefox est lancé, l'URL peut être exécutée avec les privilèges système de Firefox si le plantage est utilisé. Cela permet de lire les fichiers journaux locaux, ce qui peut entraîner la fuite d'informations privées. Cette vulnérabilité (9) concerne uniquement Firefox pour Android sur les versions Android 4.4 et antérieures. Impact maximal pour les autres android est un accident non-exploitable. Vulnérabilité (11) déclenchée par la requête d'outils d'accessibilité pour l'index d'une ligne de table via la valeur NSAccessibilityIndexAttribute . Vulnérabilité (14) provoquée par l'abandon du processus d'analyse lors de la découverte d'un caractère échappé, suivie d'une navigation vers la version précédemment analysée de l'URL. Lorsque le site permet une redirection de navigation pour les caractères échappés, cela peut entraîner l'extraction de jetons spécifiques au site. Vulnérabilité (15) provoquée par l'autorisation du plugin Java pour libérer l'encapsuleur JavaScript. Ce qui conduit à un crash de garbage JavaScript. Vulnérabilité (19) causée par des erreurs dans l'analyse des chaînes d'octets. Ce problème a été corrigé dans les versions 3.16.2.1 et 3.19.4 de NSS livrées respectivement dans Firefox et Firefox ESR, ainsi que dans NSS 3.20.1. Vulnérabilité (20) provoquée par un manque de contrôle lors de l'allocation de mémoire. Ce problème a été corrigé dans NSPR 4.10.10. NSPR est requis composant de NSS. |
Produits concernés
|
Versions de Mozilla Firefox antérieures à 42 |
Solution
|
Mettre à jour à la dernière version |
Fiches de renseignement originales
|
|
Impacts
?
|
SUI
[?] ACE [?] OSI [?] SB [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4513 |
Lien vers l'original |
|