Vulnérabilités dans Mozilla Firefox
Date de publication :
CVE-2021-29953 [Score CVSS v3 : 6.1] : Une vulnérabilité du type a été corrigée dans Firefox. Son exploitation peut permettre à un attaquant distant et non authentifié de créer une page web malveillante pouvant forcer un utilisateur de Firefox pour Android à exécuter un JavaScript contrôlé par l'attaquant dans le contexte d'un autre domaine.
CVE-2021-29952 [Score CVSS v3 : 7.5] : Une vulnérabilité concernant la gestion des composants Web Render a été corrigée. Lorsque ceux-ci sont détruits, une situation de concurrence peut potentiellement provoquer un comportement non défini. Un attaquant distant peut-être en mesure d’exécuter du code arbitraire en exploitant cette faille.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Expositions d’informations sensibles
Criticité
- Scores CVSS v3 : 7.5 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Firefox antérieures à 88.0.1 sont impactées par ces vulnérabilités.
- Les versions de Firefox pour Android antérieures à 88.1.3 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Firefox vers la version 88.0.1 ou ultérieure.
- Mettre à jour Firefox pour Android vers la version 88.1.3.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.