Vulnérabilité critique corrigée sur Firefox
Date de publication :
Une vulnérabilité critique exploitée fréquemment par des attaquants sur Firefox a été corrigée par l’éditeur Mozilla.
CVE-2019-17026 [Score CVSS v3 : en cours de calcul] : La vulnérabilité concerne IonMonkey, un compilateur JavaScript JIT utilisé par SpiderMonkey, le composant principal permettant à Firefox d’effectuer des opérations en JavaScript. L’exploitation de cette vulnérabilité permettrait à un attaquant de prendre le contrôle d’une machine à distance. Il semble que cette vulnérabilité est utilisée activement par des attaquants.
Cette faille est catégorisée comme étant une confusion de type qui est un bogue mémoire où une entrée est initialement allouée à un type (ex : dynamique, statique, etc...) mais est modifiée vers un autre type suite à une manipulation d'un attaquant. Ceci peut provoquer des conséquences inattendues sur le traitement des données y compris la capacité à exécuter du code arbitraire sur un système vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Prise de contrôle d’une machine
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible publiquement. Cependant la vulnérabilité semble être utilisée activement par des attaquants.
Composants & versions vulnérables
- Firefox 72 et versions antérieures
- Firefox ESR 68.4 et versions antérieures
CVE
Solutions ou recommandations
Mise en place de correctif de sécurité
- Appliquer le correctif fourni par l’éditeur
Solution de contournement
- Aucune solution n'a été proposée autre que la mise à jour.