Failles critiques pour SeaMonkey

Le par  |  7 commentaire(s) Source : Secunia / Zone-h
seamonkey

Quelques jours seulement après la disponibilité de la version finale 1.

Quelques jours seulement après la disponibilité de la version finale 1.0 de SeaMonkey, Sécunia nous informe de vulnérabilités critiques affectant cette version.

Alors que la version finale 1.0 est disponible en français depuis seulement une dizaine de jours, le site de sécurité Secunia nous informe de la présence de failles critiques affectant ce produit.

Seamonkey

SeaMonkey, l'ancienne suite Mozilla
Pour rappel, SeaMonkey est la poursuite de feu le projet suite Mozilla. Il propose un navigateur web de pointe, un client de courriel puissant, un éditeur de pages web WYSIWYG et un client de discussion en direct sur IRC aux nombreuses fonctions. Pour les développeurs Web, il propose également l'inspecteur DOM de mozilla.org et le débogueur JavaScript.


Des vulnérabilités multiples et critiques
Les vulnérabilités affectant SeaMonkey 1.0 sont les mêmes qui affectent déjà le navigateur web Firefox.

"De multiples vulnérabilités ont été identifiées dans Mozilla SeaMonkey, celles-ci pourraient être exploitées par des personnes malicieuses afin de contourner certaines restrictions de sécurité, récupérer des informations sensibles et compromettre le système d'un utilisateur."

On retrouve ainsi les failles suivantes :

  1. Plusieurs erreurs dans l'implémentation DHTML pourraient être exploitées afin de causer une corruption de mémoire. Une exploitation réussie de la vulnérabilité pourrait permettre l'exécution de code arbitraire.

  2. Un dépassement d'entier lors du traitement de la propriété letter-spacing des CSS pourrait être exploité afin de causer un dépassement du tas. Une exploitation réussie de la vulnérabilité permet l'exécution de code arbitraire.

  3. Une erreur lors du traitement de contrôles d'upload de fichiers pourrait être exploitée afin d'uploader des fichiers arbitraires depuis le système d'un utilisateur, par exemple en changeant dynamiquement une boîte de saisie de texte à un contrôle d'upload de fichiers.

  4. Une erreur non spécifiée dans la méthode "crypto.generateCRMFRequest()" pourrait être exploitée afin d'exécuter du code arbitraire.

  5. Une erreur lors du traitement de scripts dans les contrôles XBL pourrait être exploitée afin de gagner les privilèges "chrome" via la fonctionnalité "Aperçu avant impression".

  6. Une erreur dans une vérification de sécurité dans la méthode "js_ValueToFunctionObject()" pourrait être exploitée afin d'exécuter du code arbitraire via "setTimeout()" et "ForEach()".

  7. Une erreur dans l'intéraction entre les fenêtres de contenu XUL et le mécanisme d'historique pourrait être exploitée afin d'inciter des utilisateur à interagir avec une interface utilisateur du navigateur qui n'est pas visible.


Seule solution, mettre à jour sans hésiter votre version vers la 1.0.1.
Complément d'information
  • SeaMonkey : failles comblées et stabilité améliorée
    Une version 2.0.14 de l'application SeaMonkey a été mise en ligne par les développeurs derrière le projet. Celle-ci corrige plusieurs failles de sécurité, parmi lesquelles certaines jugées critiques, et résout quelques plantages.
  • SeaMonkey 2.0.4 : correction de cinq failles critiques
    Une nouvelle version de la suite SeaMonkey vient d'être mise en ligne par les développeurs. Elle corrige plusieurs failles de sécurité, dont certaines qualifiées de critiques, et améliore la stabilité de l'application.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #100667
du grain à moudre pour les anti-libre !!!
j'espere que comme bien souvent , la réactivité des développeurs open-source ne failira point !
le preuve etant faite qu'aucun logiciel n'est exempt de failles/erreurs ...
libre comme propriétaire ...
l'erreur est humaine...
bon courage et merci aux developpeurs du monde libre ...

Le #100669
ah zut j'ai pas lu la dernière ligne ...
il y a déja ne mise a jour '''
respect !!!!
Le #100685
"il y a déja ne mise a jour '''
respect !!!! "

non, il n'y a pas "déjà" une mise à jour, c'est juste que mozilla a caché l'existence de ces failles jusqu'à avoir pris son temps pour sortir un patch. vu le nombre de vulnérabilités, certaines doivent dater de plusieurs semaines
Le #100691
J'aurai les mêmes pouvoirs que la chine je censurerai ton commentaire link83
Ca porte atteinte à l'union libre
Le #100720
Mouhahaha trop forts Sécunia !!!
Eh ouais, ils savent lire : http://www.mozilla.org/projects/security/known-vulnerabilities.html et GNT sait faire du coper/coller.

Je trouve aussi dommage de relayer deux news identiques sur Firefox/Seamonkey. Alors insister sur le fait qu'il est important de faire les MAJ, OK, mais je trouve que tourné comme ça c'est assez moyen.
Le #100818
link83 >>>Ben SI!!!! Quoique tu en penses : il y a déjà une mise à jour !!!
Le #100983
En ce qui concerne les mises à jour et les failles de sécurité : a priori l'open source est plus performant puisque tout le monde peut détecter une erreur dans le code, non '

On trouve plus vite les failles et on doit trouver plus vite les solutions.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]