Vulnérabilités dans Firefox, Firefox ESR et ThunderBird
Date de publication :
CVE-2021-29969 [Score CVSS v3 : 5.9]
Si Thunderbird est configuré pour utiliser STARTTLS pour une connexion IMAP alors un attaquant peut potentiellement injecter des réponses du serveur IMAP avant la fin de la poignée de main (handshake) STARTTLS.
CVE-2021-29970[Score CVSS v3 : 8.8]
Une page web malveillante aurait pu déclencher une utilisation après libération, une corruption de la mémoire et un crash potentiellement exploitable.
Cette vulnérabilité n'affecte Thunderbird que lorsque l’option l'accessibilité est activée.
CVE-2021-29971 [Score CVSS v3 : 9.8]
Si un utilisateur accorde une autorisation à une page web et enregistre cette autorisation, toute page web s'exécutant sur le même hôte - indépendamment du schéma ou du port - se voit accorder cette même autorisation.
Cette vulnérabilité n'affecte que Firefox pour Android. Les autres systèmes d'exploitation ne sont pas concernés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Déni de service
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Firefox antérieur à 90 ;
- Firefox ESR antérieur à 78.12 ;
- Thunderbird antérieur à 78.12 ;
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels concernées conformément aux instructions de Mozilla.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.