-- .~. Nicolas Bertolissio /V\ [EMAIL PROTECTED] // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilité</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes liés à la sécurité ont été découverts dans Mozilla. Le projet des expositions et vulnérabilités communes identifie les vulnérabilités suivantes : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1942";>CVE-2006-1942</a> <p> Eric Foley a découvert qu'un utilisateur pouvait être piégé pour exposer un fichier local à un attaquant distant en affichant un fichier local en tant qu'image en liaison avec d'autres vulnérabilités [MFSA-2006-39]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2775";>CVE-2006-2775</a> <p> Les attributs XUL sont associés à une mauvaise URL dans certaines circonstances, ce qui pourrait permettre à un attaquant distant de contourner des restrictions [MFSA-2006-35]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2776";>CVE-2006-2776</a> <p> Paul Nickerson a découvert que des paramètres définis par contenu<!-- content-defined setters ? --> sur un prototype d'objet étaient appelés par du code privilégié d'interface utilisateur, et « moz_bug_r_a4 » a démontré que le plus haut des niveaux de privilège pouvait être transmis au code d'attaque défini par contenu [MFSA-2006-37]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2777";>CVE-2006-2777</a> <p> Une vulnérabilité permet à des attaquants distants d'exécuter un code quelconque et de créer des notifications exécutées dans un contexte privilégié [MFSA-2006-43]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2778";>CVE-2006-2778</a> <p> Mikolaj Habryn a découvert un dépassement de mémoire tampon dans la fonction crypto.signText, il permet à des attaquants distants d'exécuter un code quelconque <i>via</i> certains arguments optionnels de nom d'autorité de certification [MFSA-2006-38]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2779";>CVE-2006-2779</a> <p> Des membres de l'équipe Mozilla ont découverts plusieurs plantages durant les tests du moteur de navigation mettant à jour des preuves de corruption de mémoire qui pourrait également conduire à l'exécution de code quelconque. Ce problème n'a été que partiellement corrigé [MFSA-2006-32]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2780";>CVE-2006-2780</a> <p> Un dépassement d'entier permet à des attaquants distants de générer un déni de service et pourrait permettre l'exécution de code quelconque [MFSA-2006-32]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2781";>CVE-2006-2781</a> <p> Masatoshi Kimura a découvert une vulnérabilité de double libération de mémoire qui permet à des attaquants distants de générer un déni de service et peut-être d'exécuter un code quelconque <i>via</i> une VCard [MFSA-2006-40]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2782";>CVE-2006-2782</a> <p> Chuck McAuley a découvert qu'une boîte de saisie de texte pouvait être préremplie avec un nom de fichier puis être utilisée pour contrôler le téléchargement d'un fichier, cela permettrait à un site malveillant de voler tout fichier local dont le nom pourrait être deviné [MFSA-2006-41, MFSA-2006-23, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1729";>CVE-2006-1729</a>]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2783";>CVE-2006-2783</a> <p> Masatoshi Kimura a découvert que la marque de boutisme (<i>Byte-order-Mark, BOM</i>) unicode était supprimée des pages UTF-8 pendant la conversion vers l'unicode avant que l'analyseur ne reçoive la page, cela permet à des attaquants distants de conduire des attaques par vol de session [MFSA-2006-42]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2784";>CVE-2006-2784</a> <p> Paul Nickerson a découvert que la correction de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0752";>CAN-2005-0752</a> pouvait être contournée en utilisant des URL « javascript: » imbriquées permettant à l'attaquant d'exécuter du code privilégié [MFSA-2005-34, MFSA-2006-36]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2785";>CVE-2006-2785</a> <p> Paul Nickerson a démontré que si un attaquant pouvait convaincre un utilisateur de faire un clic droit sur une image piégée et choisir « Voir l'image » dans le menu contextuel alors il pouvait faire exécuter du JavaScript [MFSA-2006-34]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2786";>CVE-2006-2786</a> <p> Kazuho Oku a découvert que la gestion indulgente par Mozilla de la syntaxe des en-têtes HTTP pourrait permettre à un attaquant distant de duper le navigateur pour lui faire interpréter certaines réponses comme si elles provenaient de deux sites différents [MFSA-2006-33]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2787";>CVE-2006-2787</a> <p> Le chercheur de Mozilla « moz_bug_r_a4 » a découvert que du JavaScript exécuté <i>via</i> EvalInSandbox pouvait s'écharper du bac à sable et obtenir des privilèges élevés [MFSA-2006-31]. </p></li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.7.8-1sarge7.1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.7.13-0.3. </p> <p> Nous vous recommandons de mettre à jour vos paquets Mozilla. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1118.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilité</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes liés à la sécurité ont été découverts dans Mozilla. Le projet des expositions et vulnérabilités communes identifie les vulnérabilités suivantes : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1942";>CVE-2006-1942</a> <p> Eric Foley a découvert qu'un utilisateur pouvait être piégé pour exposer un fichier local à un attaquant distant en affichant un fichier local en tant qu'image en liaison avec d'autres vulnérabilités [MFSA-2006-39]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2775";>CVE-2006-2775</a> <p> Les attributs XUL sont associés à une mauvaise URL dans certaines circonstances, ce qui pourrait permettre à un attaquant distant de contourner des restrictions [MFSA-2006-35]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2776";>CVE-2006-2776</a> <p> Paul Nickerson a découvert que des paramètres définis par contenu<!-- content-defined setters ? --> sur un prototype d'objet étaient appelés par du code privilégié d'interface utilisateur, et « moz_bug_r_a4 » a démontré que le plus haut des niveaux de privilège pouvait être transmis au code d'attaque défini par contenu [MFSA-2006-37]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2777";>CVE-2006-2777</a> <p> Une vulnérabilité permet à des attaquants distants d'exécuter un code quelconque et de créer des notifications exécutées dans un contexte privilégié [MFSA-2006-43]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2778";>CVE-2006-2778</a> <p> Mikolaj Habryn a découvert un dépassement de mémoire tampon dans la fonction crypto.signText, il permet à des attaquants distants d'exécuter un code quelconque <i>via</i> certains arguments optionnels de nom d'autorité de certification [MFSA-2006-38]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2779";>CVE-2006-2779</a> <p> Des membres de l'équipe Mozilla ont découverts plusieurs plantages durant les tests du moteur de navigation mettant à jour des preuves de corruption de mémoire qui pourrait également conduire à l'exécution de code quelconque. Ce problème n'a été que partiellement corrigé [MFSA-2006-32]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2780";>CVE-2006-2780</a> <p> Un dépassement d'entier permet à des attaquants distants de générer un déni de service et pourrait permettre l'exécution de code quelconque [MFSA-2006-32]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2782";>CVE-2006-2782</a> <p> Chuck McAuley a découvert qu'une boîte de saisie de texte pouvait être préremplie avec un nom de fichier puis être utilisée pour contrôler le téléchargement d'un fichier, cela permettrait à un site malveillant de voler tout fichier local dont le nom pourrait être deviné [MFSA-2006-41, MFSA-2006-23, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1729";>CVE-2006-1729</a>]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2783";>CVE-2006-2783</a> <p> Masatoshi Kimura a découvert que la marque de boutisme (<i>Byte-order-Mark, BOM</i>) unicode était supprimée des pages UTF-8 pendant la conversion vers l'unicode avant que l'analyseur ne reçoive la page, cela permet à des attaquants distants de conduire des attaques par vol de session [MFSA-2006-42]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2784";>CVE-2006-2784</a> <p> Paul Nickerson a découvert que la correction de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0752";>CAN-2005-0752</a> pouvait être contournée en utilisant des URL « javascript: » imbriquées permettant à l'attaquant d'exécuter du code privilégié [MFSA-2005-34, MFSA-2006-36]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2785";>CVE-2006-2785</a> <p> Paul Nickerson a démontré que si un attaquant pouvait convaincre un utilisateur de faire un clic droit sur une image piégée et choisir « Voir l'image » dans le menu contextuel alors il pouvait faire exécuter du JavaScript [MFSA-2006-34]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2786";>CVE-2006-2786</a> <p> Kazuho Oku a découvert que la gestion indulgente par Mozilla de la syntaxe des en-têtes HTTP pourrait permettre à un attaquant distant de duper le navigateur pour lui faire interpréter certaines réponses comme si elles provenaient de deux sites différents [MFSA-2006-33]. </p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2787";>CVE-2006-2787</a> <p> Le chercheur de Mozilla « moz_bug_r_a4 » a découvert que du JavaScript exécuté <i>via</i> EvalInSandbox pouvait s'écharper du bac à sable et obtenir des privilèges élevés [MFSA-2006-31]. </p></li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.0.4-2sarge9. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.5.dfsg+1.5.0.4-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets Mozilla Firefox. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1120.data"
