RESUME :
Un défaut de sécurité a été identifié dans les navigateurs Firefox et SeaMonkey. L'exploitation d'une erreur dans la gestion du paramètre -chrome, incomplètement corrigée par le correctif MFSA 2007-23, peut permettre l'exécution d'un script malicieux via un fichier QTL piégé, par exemple contenu dans une page web (voir alerte du 13/09/07).
LOGICIELS CONCERNES :
Firefox 2.0.0.6 et versions inférieures
SeaMonkey 1.1.4 et versions inférieures
CORRECTIF :
Les utilisateurs concernés doivent installer immédiatement la nouvelle version (2.0.0.7 ou supérieure pour Firefox) ou le correctif correspondant à leur logiciel via le site de l'éditeur ou la fonction de mise à jour automatique du logiciel (disponible avec Firefox), afin de prévenir toute exploitation malveillante de ce défaut de sécurité :
Firefox 2.0.0.7
SeaMonkey 1.1.5 (bientôt disponible)
N.B. : la protection conférée par ce correctif vis-à-vis de la faille QuickTime QTL n'est valable que pour les tentatives d'exploitation via Firefox et complète uniquement si ce navigateur est défini en tant que navigateur par défaut.
http://www.secuser.com/vulnerabilite/2007/070919_firefox.htm