La fondation Mozilla vient de publier une nouvelle version de ses navigateurs Mozilla Suite et Firefox, corrigeant quatre vulnérabilités critiques qui pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
- Le premier problème résulte d'une erreur de validation d'entrées présente au niveau de la gestion des urls "javascript:" incluses avec les pseudo-protocoles "view-source:" et "jar:", ce qui pourrait être exploité via un site web malicieux afin de conduire des attaques par Cross Site Scripting et exécuter des commandes arbitraires. Cette faille est une variante de la vulnérabilité "favicon". Se référer au bulletin : FrSIRT/AVIS-2005-0361.
- La seconde vulnérabilité est due à une erreur présente au niveau de la gestion des objets Javascript eval et Script qui sont exécutés avec des privilèges élevés, ce qui pourrait être exploité par un attaquant distant afin de compromettre un système vulnérable. Cette faille est une variante de la vulnérabilité "DOM". Se référer au bulletin : FrSIRT/AVIS-2005-0361.
- Deux autres vulnérabilités critiques ont été identifiées et corrigées. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0493.
Il est donc recommandé d'installer les nouvelles versions de Mozilla et Firefox.