Voici l'annonce 810 touchant mozilla à relire. (C'est principalement un copier/coller de l'annonce 779 touchant firefox). -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans Mozilla, le naviguateur web de
la suite Mozilla. Étant donné que la pratique habituelle de rétroportage ne
fonctionne pas, cette mise à jour est pour l'essentiel la version 1.7.10
dotée d'un numéro de version rabaissé et ainsi toujours nommée 1.7.8. Le projet
« Common Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0718";>CAN-2004-0718</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1937";>CAN-2005-1937</a>
<p>Une vulnérabilité découverte dans Mozilla permettait aux attaquants
distants d'injecter du code JavaScript arbitraire d'une page vers les
cadres (« frames ») d'un autre site.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2260";>CAN-2005-2260</a>
<p>L'interface utilisateur du navigateur ne distingue pas correctement les
événements générés par l'utilisateur des événements artificiels auxquels on ne
peut pas faire confiance. Ainsi, les attaquants distants peuvent effectuer
plus facilement des actions qui ne sont normalement exécutables que par
l'utilisateur même.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2261";>CAN-2005-2261</a>
<p>Les scripts XML étaient lancés même quand le JavaScript était désactivé.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2263";>CAN-2005-2263</a>
<p>Un attaquant distant peut exécuter une fonction de retour dans le
contexte d'un autre domaine (i.e. cadre).</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2265";>CAN-2005-2265</a>
<p>Une mauvaise vérification des entrées dans la fonction
InstallVersion.compareTo() peut entraîner un plantage de l'application.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2266";>CAN-2005-2266</a>
<p>Des attaquants distants peuvent voler des informations sensibles
telles que des « cookies » ou mots de passe de sites web, en y
accédant par des cadres malveillants.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2268";>CAN-2005-2268</a>
<p>Une boîte de dialogue JavaScript peut usurper une boîte de dialogue d'un
site de confiance, ce qui facilite les attaques par
« phishing ».</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2269";>CAN-2005-2269</a>
<p>Des attaquants distants peuvent modifier certaines marques de propriétés
des noeuds DOM, ce qui peut permettre l'exécution de code ou de script
arbitraire.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2270";>CAN-2005-2270</a>
<p>La famille des navigateurs Mozilla ne clone pas correctement les objets
de base, ce qui permet aux attaquants distants d'exécuter du code
arbitraire.</p>
</ul>
<p>Pour l'actuelle distribution stable (<i>Sarge</i>), ces problèmes ont été
corrigés dans la version 1.7.8-1sarge2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 1.7.10-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets Mozilla.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-810.data"
# $Id: dsa-810.wml,v 1.1 2005/09/13 12:26:34 joey Exp $
Attachment:
signature.asc
Description: This is a digitally signed message part