Posté le: 17 Avr 2006 22:45 Sujet du message: Vulnérabilité sur SeaMonkey
Bonsoir,
Quelques jours seulement après la disponibilité de la version finale 1.0 de SeaMonkey, Sécunia nous informe de vulnérabilités critiques affectant cette version.
Alors que la version finale 1.0 est disponible en français depuis seulement une dizaine de jours, le site de sécurité Secunia nous informe de la présence de failles critiques affectant ce produit.
SeaMonkey, l'ancienne suite Mozilla
Pour rappel, SeaMonkey est la poursuite de feu le projet suite Mozilla. Il propose un navigateur web de pointe, un client de courriel puissant, un éditeur de pages web WYSIWYG et un client de discussion en direct sur IRC aux nombreuses fonctions. Pour les développeurs Web, il propose également l'inspecteur DOM de mozilla.org et le débogueur JavaScript.
Des vulnérabilités multiples et critiques
Les vulnérabilités affectant SeaMonkey 1.0 sont les mêmes qui affectent déjà le navigateur web Firefox.
"De multiples vulnérabilités ont été identifiées dans Mozilla SeaMonkey, celles-ci pourraient être exploitées par des personnes malicieuses afin de contourner certaines restrictions de sécurité, récupérer des informations sensibles et compromettre le système d'un utilisateur."
On retrouve ainsi les failles suivantes :
1. Plusieurs erreurs dans l'implémentation DHTML pourraient être exploitées afin de causer une corruption de mémoire. Une exploitation réussie de la vulnérabilité pourrait permettre l'exécution de code arbitraire.
2. Un dépassement d'entier lors du traitement de la propriété letter-spacing des CSS pourrait être exploité afin de causer un dépassement du tas. Une exploitation réussie de la vulnérabilité permet l'exécution de code arbitraire.
3. Une erreur lors du traitement de contrôles d'upload de fichiers pourrait être exploitée afin d'uploader des fichiers arbitraires depuis le système d'un utilisateur, par exemple en changeant dynamiquement une boîte de saisie de texte à un contrôle d'upload de fichiers.
4. Une erreur non spécifiée dans la méthode "crypto.generateCRMFRequest()" pourrait être exploitée afin d'exécuter du code arbitraire.
5. Une erreur lors du traitement de scripts dans les contrôles XBL pourrait être exploitée afin de gagner les privilèges "chrome" via la fonctionnalité "Aperçu avant impression".
6. Une erreur dans une vérification de sécurité dans la méthode "js_ValueToFunctionObject()" pourrait être exploitée afin d'exécuter du code arbitraire via "setTimeout()" et "ForEach()".
7. Une erreur dans l'intéraction entre les fenêtres de contenu XUL et le mécanisme d'historique pourrait être exploitée afin d'inciter des utilisateur à interagir avec une interface utilisateur du navigateur qui n'est pas visible.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
