CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection
?
|
03/08/2016 |
Sévérité
?
|
Critique |
Description
|
Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, contourner les restrictions de sécurité, obtenir des informations sensibles, exécuter du code arbitraire, usurper l'interface utilisateur, obtenir des privilèges et écrire des fichiers locaux. Voici une liste complète des vulnérabilités
Détails techniques Vulnérabilité (1) liée à js / src / jit / arm / Assembler-arm.cpp et à d'autres vecteurs inconnus. Vulnérabilité (2) liée à la fonction nsCSPContext :: SendReports dans dom / security / nsCSPContext.cpp qui n'empêche pas l'URI de rapport non HTTP pour un rapport de violation CSP. Cette vulnérabilité peut être déclenchée si l'utilisateur a désactivé la signature de module complémentaire et a installé un module complémentaire non compressé. Vulnérabilité (3) causée par le stockage d'informations de chemin complet pour les navigations IFRAME d'origine croisée. La vulnérabilité (4) peut être exploitée en effectuant des opérations WebGL dans un canevas nécessitant l'allocation d'une quantité de mémoire inhabituellement importante. Cette vulnérabilité peut être exploitée sur Linux avec le pilote vidéo Intel utilisé. Si la vulnérabilité est exploitée avec succès, il sera nécessaire de redémarrer l'ordinateur pour retourner la fonctionnalité. Vulnérabilité (5) peut être exploitée via la vidéo qui déclenche une opération de suppression sur un tableau. Vulnérabilité (6) liée à browser / base / content / browser.js qui permet de spoofer la barre d'adresse via jsvscropt: URL. Vulnérabilité (8) peut être exploitée via des déclencheurs de contenu mal géré des balises de fin. Cette vulnérabilité concerne nsHtml5TreeBuilder . Vulnérabilité (9) peut être exploitée via des triggers de contenu lors d'une mauvaise gestion de l'élément root, Cette vulnérabilité concerne la fonction nsHTMLDocument :: SetBody dans dom / html / nsHTMLDocument.cpp La vulnérabilité (10) peut être exploitée en exploitant une mauvaise manipulation de la connexion de canal de données WebRTC. Vulnérabilité (11) peut être exploitée via la modification de fichiers pendant l'opération de lecture de l'API FileReader. Vulnérabilité (12) liée à la fonction AtomicBaseIncDec . La vulnérabilité (13) peut être exploitée via des séquences de navigation qui impliquent un retour. Si l'utilisateur revient à la page d'origine, l'URL affichée ne reflète pas l'emplacement de la page rechargée. Vulnérabilité (14) liée à un bug déjà corrigé CVE-2015-7207 . Il a été découvert que la navigation de l'historique dans une session de navigateur restaurée permet toujours la même attaque. Vulnérabilité (16) liée à la fonction nsNPObjWrapper :: GetNewOrUsed dans dom / plugins / base / nsJSNPRuntime.cpp Vulnérabilité (17) liée à la fonction srtp_unprotect . Vulnérabilité (18) liée à la fonction I420VideoFrame :: CreateFrame sous Windows. Vulnérabilité (19) liée à dom / media / systemservices / CamerasChild.cpp Vulnérabilité (20) liée à la classe DesktopDisplayDevice . Vulnérabilité (22) liée à la fonction GetStaticInstance . Vulnérabilité (23) liée à la fonction nsScannerString :: AppendUnicodeTo qui ne vérifie pas le succès de l'allocation de mémoire. Vulnérabilité (24) liée à la vulnérabilité dans les versions NSS antérieures aux versions 3.19.2.3 et 3.20 antérieures à 3.21. Cette vulnérabilité peut être exploitée à distance via une donnée ASN.1 spécialement conçue dans le certificat X.509. Vulnérabilité (25) liée à la fonction PK11_ImportDERPrivateKeyInfoAndReturnKey . Cette vulnérabilité peut être exploitée via une clé avec des données codées DER. Vulnérabilité (26) liée à plusieurs vulnérabilités dans le code correspondant aux vecteurs listés ci-dessous:
|
Produits concernés
|
Les versions de Mozilla Firefox antérieures à 45.0 |
Solution
|
Mettre à jour à la dernière version |
Fiches de renseignement originales
|
|
Impacts
?
|
WLF
[?] SUI [?] ACE [?] OSI [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2016-1963 |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des vulnérabilités dans votre région |