Vulnérabilité dans Firefox et ThunderBird

Date de publication :

Une vulnérabilité déclarée comme critique par Mozilla affecte les logiciels Firefox, Firefox ESR et Thunderbird. Cette faille a été découverte lors de la Tianfu Cup 2020 International Cybersecurity Contest.

CVE-2020-26950[Score CVSS v3 : 8.8] : Dans certaines circonstances, le code opération  “MCallGetProperty” peut être utilisé avec des paramètres attendues inexistants. Cette faille peut permettre à un attaquant distant et non-authentifié de perpétrer une attaque de type “use-after-free” résultant potentiellement en une fuite de données.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Fuite de données sensibles

Criticité

  • [Score CVSS v3 : 5.1]

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est connu publiquement à ce jour.

Composants vulnérables

  • Firefox (<v82.0.3)
  • Firefox ESR (<v78.4.1)
  • Thunderbird (<v78.4.2)

CVE

  • CVE-2020-2695

 

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mise à jour des logiciels suivants :

  • Firefox v82.0.3

  • Firefox ESR v78.4.1

  • Thunderbird v78.4.2

Solution de contournement

  • Aucune solution de contournement n’est disponible à ce jour.

Liens