Vulnérabilités dans Firefox, Firefox ESR et Thunderbird
Date de publication :
CVE-2021-23981 [Score CVSS v3 : 8.1] : Le téléchargement d'une texture d'un objet de type Pixel Buffer Object peut potentiellement perturber le code WebGL et l'empêcher de lier le tampon utilisé pour le décompresser, ce qui entraîne une corruption de la mémoire et une fuite d'informations ou un plantage potentiellement exploitables.
CVE-2021-23987 [Score CVSS v3 : 8.8] : Plusieurs bogues de sécurité ont été corrigées dans Firefox, Firefox ESR et Thunderbird. Certains de ces bogues présentaient des signes de corruption de la mémoire. Un attaquant distant et non authentifié peut potentiellement exploiter ces failles afin d'injecter du code arbitraires.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Déni de service
- Expositions d'informations sensibles
Criticité
- Scores CVSS v3 : 8.1 ; 8.8
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Firefox antérieure à la version 87.
- Firefox ESR antérieure à la version 78.9.
- Thunderbird antérieure à la version 78.9.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Firefox vers la version 87.
- Mettre à jour Firefox ESR vers la version 78.9.
- Mettre à jour Thunderbird vers la version 78.9.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.