Vulnérabilité dans Mozilla Firefox
Date de publication :
CVE-xxxx-xxxxx [Score CVSS v3 : N/A] : Une vulnérabilité dans Firefox et Firefox ESR au sein de la bibliothèque graphique Angle a été corrigée. La fonction de calcul de la hauteur de la profondeur ne prends pas en compte la taille du bloc et se contente de multiplier la hauteur de la ligne par la hauteur du pixel. Les fonctions de chargement utilisent donc un pas de profondeur très élevé, dépassant la taille de la mémoire tampon fournie par l'utilisateur. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité afin d’éventuellement perpétrer un déni de service, une exposition de données sensibles ou une injection de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Expositions d’informations sensibles
- Injection de code arbitraire
Criticité
- Score CVSS v3 : N/A
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Firefox antérieures à la version 85.0.1 sont considérées comme impactées par cette vulnérabilité.
- Les versions de Firefox ESR antérieures à la version 78.7.1 sont considérées comme impactées par cette vulnérabilité.
CVE
- CVE-xxxx-xxxxx
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Firefox vers la version 85.0.1.
Mettre à jour Firefox ESR vers la version 78.7.1.
Solution de contournement
Aucune solution de contournement n’est proposée à l’heure actuelle.