Vulnérabilités dans Mozilla Firefox, Firefox ESR et ThunderBird
Date de publication :
Firefox, Firefox ESR, ThunderBird :
CVE-2021-23953 [Score CVSS v3 : 4.3] : Une vulnérabilité impactant le lecteur de PDF embarqué a été corrigée. Son exploitation consiste à leurrer l’utilisateur pour que celui-ci ouvre un fichier PDF spécialement conçu. Le lecteur de PDF peut alors potentiellement exposer des informations inter-sites lorsque ces informations ont été transférées par bloc. Cette attaque peut être perpétrée par un attaquant distant et non-authentifié.
CVE-2021-23954[Score CVSS v3 : 8.8] : Une vulnérabilité présente dans un nouvel opérateur logique d’assignement dans JavaScript a été corrigée. L’utilisation de cet opérateur dans une déclaration Javascript de type “switch” peut provoquer une corruption de la mémoire ainsi qu’un déni de service potentiellement exploitable.
Firefox uniquement :
CVE-2021-23955[Score CVSS v3 : 6.1] : Une vulnérabilité permettant une attaque de type détournement de clic a été corrigée sur Firefox. Un attaquant distant et non-authentifié peut potentiellement transférer un état de verrouillage de pointeur vers un onglet différent du navigateur. Il peut ainsi être en mesure de perpétrer des attaques de type détournement de clic.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Expositions d’informations sensibles
- Déni de service
- Détournement de clic.
Criticité
- Score CVSS v3 : 4.3 ; 6.1 ; 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Firefox <v85
- Firefox ESR <v78.7
- ThunderBird <v78.7
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les logiciels impactés vers les versions suivantes :
Firefox v85
Firefox ESR v78.7
ThunderBird v78.7
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.