CERTA-2004-AVI-232

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité dans les applications de la suite Mozilla permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur une machine vulnérable.

Description

Une mauvaise gestion du protocole shell: par les applications de la suite Mozilla permet à un utilisateur mal intentionné de lancer des applications via un site web malicieusement construit.

Les programmes lancés par la fonctionnalité shell: ne pourront pas recevoir de paramètres, mais s'ils présentent une erreur ou une vulnérabilité, il sera alors possible d'exécuter du code arbitraire.

Solution

Appliquer les correctifs proposés par Mozilla (cf. section Documentation) ou mettre à jour les applications Mozilla.

Les versions suivantes corrigent la vulnérabilité :

  • Mozilla 1.7.1 ;
  • Mozilla Firefox 0.9.2 ;
  • Mozilla Thunderbird 0.7.2.

Seule la plate-forme Windows XP est affectée par cette vulnérabilité.

Les versions suivantes des applications de la suite Mozilla sont vulnérables :

  • Mozilla 0.x ;
  • Mozilla 1.0 à 1.7 incluses ;
  • Mozilla Firefox versions 0.9.1 et antérieures ;
  • Mozilla Thunderbird versions 0.7.1 et antérieures.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eSeule la plate-forme Windows XP est affect\u00e9e par cette  vuln\u00e9rabilit\u00e9.\u003cBR\u003e\u003c/P\u003e  \u003cP\u003eLes versions suivantes des applications de la suite Mozilla  sont vuln\u00e9rables :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMozilla 0.x ;\u003c/LI\u003e    \u003cLI\u003eMozilla 1.0 \u00e0 1.7 incluses ;\u003c/LI\u003e    \u003cLI\u003eMozilla Firefox versions 0.9.1 et ant\u00e9rieures ;\u003c/LI\u003e    \u003cLI\u003eMozilla Thunderbird versions 0.7.1 et ant\u00e9rieures.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nUne mauvaise gestion du protocole shell: par les applications de la\nsuite Mozilla permet \u00e0 un utilisateur mal intentionn\u00e9 de lancer des\napplications via un site web malicieusement construit.  \n\nLes programmes lanc\u00e9s par la fonctionnalit\u00e9 shell: ne pourront pas\nrecevoir de param\u00e8tres, mais s\u0027ils pr\u00e9sentent une erreur ou une\nvuln\u00e9rabilit\u00e9, il sera alors possible d\u0027ex\u00e9cuter du code arbitraire.\n\n## Solution\n\nAppliquer les correctifs propos\u00e9s par Mozilla (cf. section\nDocumentation) ou mettre \u00e0 jour les applications Mozilla.  \n\nLes versions suivantes corrigent la vuln\u00e9rabilit\u00e9 :\n\n-   Mozilla 1.7.1 ;\n-   Mozilla Firefox 0.9.2 ;\n-   Mozilla Thunderbird 0.7.2.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de Mozilla sur le protocole \"shell:\"    du 08 juillet 2004 :",
      "url": "http://www.mozilla.org/security/shell.html"
    },
    {
      "title": "Site web de la fondation Mozilla :",
      "url": "http://www.mozilla.org"
    }
  ],
  "reference": "CERTA-2004-AVI-232",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-07-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans les applications de la suite Mozilla permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire sur une\nmachine vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la suite Mozilla sous Windows XP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 de Mozilla sur la vuln\u00e9rabilit\u00e9 \"shell:\" du 08 juillet 2004",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.