Vulnérabilités critiques dans Firefox

Date de publication :

Deux vulnérabilités critiques ont été corrigées dans Mozilla Firefox. Elles peuvent permettre à un attaquant de provoquer un déni de service et une exécution de code arbitraire. Selon l’éditeur Mozilla, ces vulnérabilités seraient exploitées activement dans la nature.

CVE-2020-6819 [Score CVSS v3 : 8.1] : Sous certaines conditions, lorsque le composant nsDocShell destructor est utilisé, une situation de compétition (race condition) peut causer une situation de type “use-after-free”. Une exploitation réussie de cette vulnérabilité peut conduire à un déni de service voire à une exécution de code arbitraire.

CVE-2020-6820 [Score CVSS v3 : 8.1] : Sous certaines conditions, lors du traitement d’un objet de type ReadableStream, une situation de compétition (race condition) peut causer une situation de type “use-after-free”.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.1

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement, cependant ces vulnérabilités sont actuellement activement exploitées dans la nature.

Composants vulnérables

  • Mozilla Firefox versions antérieures à la 74.0.1
  • Mozilla Firefox ESR versions antérieures à la 68.6.1

CVE

  • CVE-2020-6819
  • CVE-2020-6820

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Mozilla Firefox vers une version non vulnérable (Firefox 74.0.1, Firefox ESR 68.6.1)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens