===================================================================== CERT-Renater Note d'Information No. 2008/VULN292 _____________________________________________________________________ DATE : 10/07/2008 HARDWARE PLATFORM(S) : / OPERATING SYSTEM(S) : système avec Mozilla Firefox AVIS D'ORIGINE : http://www.kb.cert.org/vuls/id/130923 http://www.mozilla.org/security/announce/2008/mfsa2008-35.html https://bugzilla.mozilla.org/show_bug.cgi?id=441120 ====================================================================== Présentation Mozilla Firefox contient une vulnérabilité qui peut permettre à un attaquant de contourner les restrictions de sécurité en ouvrant des URI spécifiques via l'interface en ligne de commande du système d'exploitation. Description Mozilla Firefox peut utiliser des URI transmises via la ligne de commande du système d'exploitation. Si l'on passe plusieurs de ces URI à l'aide de pipe, elle seront ouvertes dans des tabs. Un attaquant peut utiliser cette fonction pour lancer des des ressources qui seront ouvert par d'autres applications. Comme Firefox considéra que ces ressources sont d'origine locale, les restrictions basées sur l'origine, le contenu et le domaine appliquées en temps normal au contenu extérieur seront ignorées. Solution Cette vulnérabilité est corrigée dans les versions Firefox 3.0.1 et Firefox 2.0.0.16. ====================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================