Multiples vulnérabilités dans Mozilla Firefox

Date de publication :

CVE-2022-42928[Score CVSS v3.1: 8.8]
Un défaut d’allocation mémoire dans le moteur Javascript de Garbage Collector permet à un attaquant, en persuadant une victime de visiter un site spécifiquement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service sur le système de la victime.

CVE-2022-42932[Score CVSS v3.1:8.8]
Une erreur de mémoire lors de la gestion de requêtes HTML permet à un attaquant distant, en persuadant une victime de visiter un site spécifiquement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service sur le système de la victime.

CVE-2022-42927[Score CVSS v3.1:8.1]
Un attaquant peut contourner la politique de sécurité CORS (cross-origin) à partir de la fonction getEntries() de l'API performance javascript, en persuadant une victime de visiter un site spécifiquement forgé.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Vol d’informations

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CWE-254: 7PK - Security Features

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Non.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE présentées

  • Mozilla Firefox versions comprises entre 100.0 et 105.0.3
  • Mozilla Firefox ESR versions comprises entre 102.0 et 102.3.0

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Mozilla Firefox vers la version 106 ou vers une version supérieure.
  • Mettre à jour Mozilla Firefox ESR vers la version 102.4 ou vers une version supérieure.
  • Plus d’informations disponibles ici et ici.

Liens