De multiples vulnérabilités corrigées dans Mozilla Firefox 67 et Firefox ESR 60.7

L'équipe de développement de Mozilla a publié 2 bulletins de sécurité corrigeant de multiples vulnérabilités dont certaines considérées comme critiques. Un attaquant pourrait les exploiter afin d’effectuer de l’exécution de code arbitraire sur les navigateurs Firefox et Firefox ESR. Ces attaques seraient modérément simples à mettre en œuvre. L'impact estimé sur la confidentialité et l'intégrité des données est très élevé.

• Firefox corrige 21 vulnérabilités dont 2 critiques, 11 importantes, 6 modérées et 2 faibles ;
• Firefox ESR corrige 16 vulnérabilités dont 1 critique, 12 importantes et 3 modérées.

Mozilla Firefox est un navigateur web libre et gratuit, développé et distribué par la Mozilla Foundation avec l'aide de milliers de bénévoles. Mozilla Firefox ESR (Extended Support Release) est une version du navigateur web offrant un bon support fait pour les organisations.

Détails techniques :

Les vulnérabilités détaillées ci-dessous sont seulement les plus critiques et importantes.

Critiques :

• CVE-2019-9800 [Score CVSSv3 9.8] : Cette vulnérabilité critique affecte Firefox et Firefox ESR. Cette vulnérabilité permet d’exécuter du code arbitraire si l’utilisateur navigue sur un site spécialement conçu.
• CVE-2019-9814 [Score CVSSv3 9.8] : Cette vulnérabilité critique affecte Firefox. Cette vulnérabilité permet d’exécuter du code arbitraire si l’utilisateur navigue sur un site spécialement conçu.

Importantes :

• CVE-2019-9815 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Cette vulnérabilité s’appuie sur l’hyperthreading, une technologie mise en place par Intel pour exécuter plusieurs fils d’exécution (thread). Si l’hyperthreading n’est pas désactivé, une attaque semblable à celle de Spectre pourrait être effectuée, un thread pourrait exécuter du code malveillant. Cette vulnérabilité affecte principalement macOS qui a publié la version 10.14.5 permettant de désactiver la fonctionnalité.
• CVE-2019-9816  : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une faille dans la manipulation d’objets Javascript permettant de contourner la sécurité pour ces objets.
• CVE-2019-9817 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Cette vulnérabilité présente une violation de la Same Origin Policy, politique permettant de garantir qu’une page ne peut accéder à des données d’une autre page seulement si elle a la même origine.
• CVE-2019-9818 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une libération de la mémoire après utilisation est possible permettant de contourner la sandbox (bac à sable) et d’effectuer un déni de service. Cette vulnérabilité n’affecte que les systèmes Windows.
• CVE-2019-9819 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Cette vulnérabilité est dûé à une non-compatibilité entre le langage Javascript et l’API fetch.
• CVE-2019-9820 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une libération de la mémoire après utilisation peut avoir lieu dans le gestionnaire d’évènement Chrome. (chromeeventhandler). Cela peut engendrer un déni de service.
• CVE-2019-9821 : Cette vulnérabilité importante affecte Firefox. Une libération de la mémoire après utilisation sur AssertWorkerThread. Cela peut engendrer un déni de service.
• CVE-2019-11691 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une libération de la mémoire après utilisation lors de l’utilisation de XMLhttpRequest causant l’appel du fil d’exécution (thread) de XHR après sa libération. Cela peut engendrer un déni de service.
• CVE-2019-11692 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une libération de la mémoire après utilisation lors de la suppression d’une écoute dans le manager d’écoute. Cela peut engendrer un déni de service.
• CVE-2019-11693 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Cette vulnérabilité est un dépassement de tampon sur WebGL, une interface de programmation pour les applications HTML5. Cela affecte uniquement les systèmes Linux.
• CVE-2019-7317 : Cette vulnérabilité importante affecte Firefox et Firefox ESR. Une libération de la mémoire après utilisation sur l’objet png_image_free de la librairie libpng. Cela peut engendrer un déni de service à l'aide, par exemple, de code arbitraire présenté sous la forme d'un fichier avec une extension en .png.
• CVE-2019-9797 : Cette vulnérabilité importante affecte Firefox ESR. Une violation sur les images issues de la Cross-origin resource sharing (CORS). Un mécanisme qui permet de demander des ressources restreintes sur une page Web à partir d'un autre domaine à l'extérieur du domaine.
• CVE-2018-18511 : Cette vulnérabilité importante affecte Firefox ESR. Une violation sur les images issues de la Cross-origin resource sharing (CORS). Un mécanisme qui permet de demander des ressources restreintes sur une page Web à partir d'un autre domaine à l'extérieur du domaine. Les images issues de cette politique peuvent être lues à partir d'un élément de canevas et ainsi violer cette politique utilisant la méthode transferFromImageBitmap.

Pour plus de détails sur les vulnérabilités modérées et faibles, veuillez consulter les bulletins publiés par Mozilla.

Des correctifs ont été publiés par Mozilla et sont disponibles au téléchargement depuis le 21 mai 2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.