Vulnérabilités dans Firefox et Firefox ESR
Date de publication :
CVE-2021-29965 [Score CVSS v3 : 5.3]
Un site Web malveillant qui provoque l'ouverture d'une boîte de dialogue d'authentification HTTP peut inciter le gestionnaire de mots de passe intégré à proposer des mots de passe pour le site Web actif au lieu du site Web qui a déclenché la boîte de dialogue. Cette faille n’impacte que Firefox sur Android.
CVE-2021-29967 [Score CVSS v3 : 8.8]
Plusieurs vulnérabilités mémoire ont été corrigées dans Firefox et Firefox ESR. L’exploitation de ces divers failles peut potentiellement permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exposition d’informations sensibles
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Firefox antérieures à 89 et les versions de Firefox ESr antérieures à 78.11 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Firefox vers la version 89.
Mettre à jour Firefox ESR vers la version 78.11.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.