Vulnérabilité dans Firefox et Thunderbird
Date de publication :
Une vulnérabilité critique a été corrigée dans les nouvelles versions de Firefox.
CVE-2020-16044[Score CVSS v3 : En cours de calcul] : Cette vulnérabilité est due à une erreur de type use-after-free dans l'implémentation du protocole SCTP dans Firefox et Thunderbird. Un attaquant distant et non-authentifié peut potentiellement modifier le paquet SCTP de type COOKIE-ECHO, intervenant dans la négociation du protocole SCTP (SCTP handshake). L’attaquant peut ainsi générer une erreur de type use-after-free et injecter du code arbitraire dans le système du dispositif vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est connu publiquement à ce jour.
Composants vulnérables
- Firefox (< v84.0.2)
- Firefox ESR (< v78.6.1)
- Firefox pour Android (< v84.1.3)
- Thunderbird (< v78.6.0)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour vers
Firefox v84.0.2
Firefox ESR v78.6.1
Firefox pour Android v84.1.3
Thunderbird v78.6.1
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à ce jour.