[RFR] webwml://security/2006/dsa-1044.wml
Bon soir/matin,
Voici la traduction laborieuse de l'annonce de sécurité touchant
firefox.
Je n'ai pas réussi à produire une traduction satisfaisante du paragraphe
suivant, j'ai laissé la VO dans le fichier :
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1733">CVE-2006-1733</a>
<p>"moz_bug_r_a4" discovered that the compilation scope of privileged
built-in XBL bindings is not fully protected from web content and
can still be executed which could be used to execute arbitrary
JavaScript, which could allow an attacker to install malware such
as viruses and password sniffers. [MFSA-2006-16]</p></li>
Merci d'avance pour vos relectures.
--
Simon Paillard
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans
Mozilla Firefox. Le projet « Common Vulnerability and
Exposures » a identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4134">CVE-2005-4134</a>
<p>Le chargement de pages web au titre extrêmement long semblaient
provoquer un gel du navigateur jusqu'à plusieurs minutes, ou même un
plantage de l'ordinateur en cas de mémoire insuffisante.
[MFSA-2006-03]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0292">CVE-2006-0292</a>
<p>L'interpréteur JavaScript ne déréférençait pas correctement les objets,
ce qui permettait à des attaquants distants de provoquer un déni de service
ou d'exécuter du code arbitraire. [MFSA-2006-01]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0293">CVE-2006-0293</a>
<p>Le code de la fonction d'allocation permettait à des attaquants de
provoquer un déni de service et peut-être d'exécuter du code arbitraire.
[MFSA-2006-01]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0296">CVE-2006-0296</a>
<p>XULDocument.persist() ne validait pas le nom d'attribut, permettant à un
attaquant d'injecter du code XML ou JavaScript arbitraire dans le fichier
localstore.rdf, lu et appliqué au démarrage de l'application.
[MFSA-2006-05]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0748">CVE-2006-0748</a>
<p>Un chercheur anonyme de TippingPoint et de « The Zero Day
Initiative » a signalé qu'une séquence invalide et sans aucun sens des
marqueurs relatifs aux tableaux pouvait être exploité pour exécuter du code
arbitraire. [MFSA-2006-27]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0749">CVE-2006-0749</a>
<p>Une séquence particulière de marqueurs HTML pouvait provoquer une
consommation anormale de mémoire et permettre l'exécution de code
arbitraire. [MFSA-2006-18]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1727">CVE-2006-1727</a>
<p>Georgi Guninski a signalé deux manières d'utiliser un contrôle XBL afin
d'obtenir les droits de chrome lorsque la page est visualisée dans l'aperçu
avant impression. [MFSA-2006-25]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1728">CVE-2006-1728</a>
<p>« shutdown » a découvert que la méthode
crypto.generateCRMFRequest pouvait être utilisée pour exécuter du code
arbitraire avec les droits de l'utilisateur du navigateur, ce qui pouvait
permettre à un attaquant d'exécuter des logiciels malveillants.
[MFSA-2006-24]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1729">CVE-2006-1729</a>
<p>Claus Jørgensen a signalé qu'un champ de saisie pouvait être pré-rempli
avec un nom de fichier et transformé en boîte de chargement de fichier,
permettant à un site web malveillant de copier n'importe quel fichier local
au le nom connu. [MFSA-2006-23]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1730">CVE-2006-1730</a>
<p>Un chercheur anonyme de TippingPoint et de « The Zero Day
Initiative » a découvert un dépassement d'entier déclenché par la
propriété CSS d'espacement des lettres « ,letter-spacing », qui
pouvait être exploité pour exécuter du code arbitraire.
[MFSA-2006-22]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1731">CVE-2006-1731</a>
<p>« moz_bug_r_a4 » a découvert que quelques fonctions internes
retournaient des prototypes au lieu d'objets, ce qui permettait à des
attaquants distants de mener des attaques par script intersites.
[MFSA-2006-19]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1732">CVE-2006-1732</a>
<p>« shutdown » a découvert qu'il était possible de contourner
les protections sur l'origine, ce qui permettait à un site malveillant
d'injecter un script dans le contenu d'un autre site, permettait à la page
malveillante de voler d'un autre site des informations telles que des
cookies ou des mots de passe, ou d'effectuer des transactions sous le nom
de l'utilisateur si celui-ci est déjà identifié. [MFSA-2006-17]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1733">CVE-2006-1733</a>
<p>"moz_bug_r_a4" discovered that the compilation scope of privileged
built-in XBL bindings is not fully protected from web content and
can still be executed which could be used to execute arbitrary
JavaScript, which could allow an attacker to install malware such
as viruses and password sniffers. [MFSA-2006-16]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1734">CVE-2006-1734</a>
<p>« shutdown » a découvert qu'il était possible d'accéder à un
objet d'une fonction interne et ainsi d'exécuter du code JavaScript
arbitraire avec l'ensemble des droits de l'utilisateur du navigateur, ce
qui pouvait être utilisé pour installer des logiciels malveillants.
[MFSA-2006-15]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1735">CVE-2006-1735</a>
<p>Il était possible de créer des fonctions JavaScript compilées avec des
droits incorrects, permettant à un attaquant du code arbitraire avec les
droits de l'utilisateur du navigateur, ce qui pouvait être utilisé pour
installer des logiciels malveillants. [MFSA-2006-14]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1736">CVE-2006-1736</a>
<p>Il était possible d'amener les utilisateurs à télécharger et sauver un
fichier exécutable en faisant pointer une image transparente vers un
exécutable. [MFSA-2006-13]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1737">CVE-2006-1737</a>
<p>Un dépassement d'entier permettait des attaquants distants de provoquer
un déni de service et peut-être d'exécuter du « bytecode » à
travers JavaScript à l'aide d'une longue expression rationnelle.
[MFSA-2006-11]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1738">CVE-2006-1738</a>
<p>Une vulnérabilité imprécise permettait à des attaquants distants de
provoquer un déni de service. [MFSA-2006-11]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1739">CVE-2006-1739</a>
<p>Certaines feuilles de styles (« CSS ») pouvaient provoquer des
écritures en dehors des limites et des dépassements de tampon, ce qui
pouvait provoquer un déni de service et peut-être permettre l'exécution de
code arbitraire. [MFSA-2006-11]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1740">CVE-2006-1740</a>
<p>Des attaquants distants pouvaient usurper les indicateurs de site
sécurisé tels que l'icône de cadenas, en ouvrant le site authentifié dans
une fenêtre additionnelle (« popup ») puis en changeant d'adresse
pour le site malveillant. [MFSA-2006-12]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1741">CVE-2006-1741</a>
<p>« shutdown » a découvert qu'il était possible d'injecter du
code JavaScript arbitraire dans la page d'un autre site en utilisant une
alerte modale afin de suspendre un gestionnaire d'évènement au chargement
d'une nouvelle page. Cela pouvait être utilisé pour voler des informations
confidentielles. [MFSA-2006-09]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1742">CVE-2006-1742</a>
<p>Igor Bukanov a découvert que le moteur JavaScript ne gérait pas
correctement les variables temporaires, ce qui pouvait permettre à des
attaquants distants de déclencher des opérations sur la mémoire libérée et
de corrompre la mémoire. [MFSA-2006-10]</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1790">CVE-2006-1790</a>
<p>Une régression pouvait mener à des corruptions de la mémoire, ce qui
permettait à des attaquants distants de provoquer un déni de service et
peut-être d'exécuter du code arbitraire. [MFSA-2006-11]</p></li>
</ul>
<p>Pour l'actuelle version stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.0.4-2sarge6.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.5.dfsg+1.5.0.2-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets Mozilla Firefox.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1044.data"
Reply to: