Multiples vulnérabilités dans Mozilla Firefox
Date de publication :
De multiples vulnérabilités ont été découvertes dans Mozilla Firefox et Firefox Extended Support Release (ESR), dont les plus graves permettraient à un attaquant distant d'exécuter du code arbitraire ou un déni de service.
CVE-2019-11756 [Score CVSS v3 : 7.1] : Une mauvaise utilisation d’une structure mémoire dans Firefox pourrait conduire à une vulnérabilité de type use-after-free. Un use-after-free est un accès par un programme à une zone mémoire, après que celle-ci ait été libérée. Cela peut être exploité pour causer un arrêt inattendu du programme, exécuter du code arbitraire ou élever des privilèges. L'impact identifié pour cette vulnérabilité se limite à l'arrêt inattendu du programme.
CVE-2019-17008 [Score CVSS v3 : 7.5] : Lors de l'utilisation de workers imbriqués, une vulnérabilité de type use-after-free pourrait se produire lors de la destruction du worker. Les Workers sont un outil permettant à un contenu web d'exécuter des scripts dans des tâches d'arrière-plan sans qu'il y ait d'interférence avec l'interface utilisateur. Un worker imbriqué est un worker créé par un autre worker. L'exploitation de cette vulnérabilité permettrait à un attaquant distant, contrôlant un site malveillant, de provoquer un déni de service.
CVE-2019-13722 [Score CVSS v3 : 7.5] : Lors de la définition d'un nom de thread sous Windows, dans WebRTC, un nombre incorrect d'arguments peut être fourni, conduisant à une corruption mémoire et à un arrêt inattendu du programme. Cette vulnérabilité est potentiellement exploitable par un attaquant distant contrôlant un site malveillant. Ce problème ne se produit que sous Windows. Les autres systèmes d'exploitation ne sont pas affectés.
CVE-2019-11745 [Score CVSS v3 : 8.1] : Une vulnérabilité de type out of bounds write a été découverte dans Firefox. Ce type de vulnérabilité consiste à écrire au delà de l’espace mémoire alloué, écrasant ainsi des données aléatoires en mémoire. Cette vulnérabilité se produit si un appel à la fonction NSC_EncryptUpdate, utilisée lors du chiffrement par blocs, est effectué avec des données plus petites que la taille du bloc. L'exploitation de cette vulnérabilité permettrait à un attaquant distant contrôlant un site malveillant de provoquer un déni de service.
CVE-2019-17012, CVE-2019-17013 [Score CVSS v3 : 7.5] : Plusieurs vulnérabilités de corruption de mémoire ont été découvertes dans Firefox. Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service.
- Exécution du code arbitraire.
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d'exploitation n’est disponible.
Composants & versions vulnérables
- Versions Firefox antérieures à 71.
- Versions Firefox ESR (Extended Support Release) antérieures à 68.3.
CVE
Solutions ou recommandations
Mise en place de correctif de sécurité
- Mettre à jour Firefox à la version 71 ou à une version supérieure.
- Mettre à jour Firefox ESN à la version 68.3 ou à une version supérieure.
- Exécutez tous les logiciels en tant qu'utilisateur non privilégié (sans privilèges d'administration) pour diminuer les effets d'une attaque réussie.
- Rappelez aux utilisateurs de ne pas visiter de sites Web non fiables ou de ne pas suivre des liens fournis par des sources inconnues ou non fiables.
Solution de contournement
- Aucune solution de contournement n'a été proposée autre que la mise à jour.