La Fondation Mozilla a révélé une série de vulnérabilités critiques qui affectent le navigateur Firefox, le client de messagerie Thunderbird et l'outil d'agenda SeaMonkey. Seules les versions 1.5.0.6 et inférieures de Firefox et Thunderbird, et la 1.0.5 (et précédentes) sont touchées. Le récent Firefox 2 est épargné.
Exploitées par des attaquants distants, ces vulnérabilités peuvent compromettre le système ou permettre le contournement des mesures de sécurité afin d'exécuter du code arbitraire à distance. La plupart des problèmes sont liés à des défaut d'interprétation du moteur de rendu ou de Javascript qui gère mal des données malformées.
Dans ce cadre, Mozilla recommande de désactiver le Javascript pour la lecture des courriels dans Thunderbird (ce qui est le cas par défaut) qui partage son moteur de navigation avec celui de Firefox. Une erreur dans la vérification des signatures RSA (authentification de données) ainsi que dans l'objet " XML.prototype.hasOwnProperty" sont également signalées.
L'ensemble de ces vulnérabilités à été corrigé dans les versions 1.5.0.8 de Firefox et Thunderbird et 1.0.6 de SeaMonkey. La Fondation recommande le mise à jour de applications pour éviter tout risque d'attaque.
Source de l'article : VNUNET (FR)
http://www.vnunet.fr/fr/vnunet/news/2006/11/08/firefox-thunderbird-victimes-de