Vulnérabilités au sein des navigateurs Mozilla Firefox et Firefox ESR
Date de publication :
CVE-2021-29993 [Score CVSS v3.1 : 8.1 ]
Firefox pour Android autorise les navigations via le protocole intent://, un attaquant distant et non authentifié ce qui pouvait être utilisé pour provoquer un plantage du navigateur et des usurpations d'interface web.
Cette vulnérabilité n'affecte que Firefox pour Android. Les autres systèmes d'exploitation ne sont pas concernés.
CVE-2021-38493 [Score CVSS v3.1 : 8.8]
Plusieurs vulnérabilités liées à une gestion incorrecte de la mémoire dans Firefox 91 et Firefox ESR 78.13. L’exploitation de ces failles pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire.
CVE-2021-38494 [Score CVSS v3.1 : 8.8]
Plusieurs vulnérabilités liées à une gestion incorrecte de la mémoire dans Firefox 91. L’exploitation de ces failles pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Usurpation de page Web
- Exécution de code arbitraire
Criticité
- Scores CVSS v3.1 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Mozilla Firefox versions antérieures à 92
- Mozilla Firefox ESR versions antérieures à 78.13
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Firefox vers la version 92.
- Mettre à jour Firefox ESR vers la version 78.13.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.