Mozilla corrige une nouvelle vulnérabilité présente sur Firefox, Firefox ESR et Thunderbird

Le 20 juin, l'équipe de développement de Mozilla a publié un bulletin de sécurité corrigeant une vulnérabilité considérée comme importante (le bulletin de Thunderbird fait également mention d'une vulnérabilité critique déjà traitée ici). Un attaquant pourrait exploiter cette vulnérabilité afin d’effectuer une exécution de code arbitraire sur Firefox, Firefox ESR et Thunderbird. Cette attaque serait difficile à mettre en œuvre mais ne nécessiterait aucun niveau d'authentification. L'impact estimé sur la confidentialité et l'intégrité des données est élevé.

Firefox est un navigateur web libre et gratuit, développé et distribué par la Mozilla Foundation avec l'aide de milliers de bénévoles. Mozilla Firefox ESR (Extended Support Release) est une version du navigateur web offrant un bon support fait pour les organisations. Thunderbird est un client de messagerie libre distribué par la fondation Mozilla, il partage une partie du code source du navigateur Firefox. 

Détails techniques :

CVE-2019-11708 [CVSS v3 7.5] : La vulnérabilité est issue d’une vérification insuffisante des paramètres entre les processus enfant et parent transmis par les messages interprocessus (IPC) Prompt:Open IPC, qui sont transmis entre les différents processus du navigateur. Un processus enfant compromis peut engendrer l’ouverture de contenu web par le processus parent en contournant l'environnement normalement cloisonné mis en place par ce dernier ("sandbox"). Combiné avec une autre vulnérabilité présente, un attaquant pourrait alors exploiter une telle faille pour exécuter du code arbitraire à distance.

Des correctifs ont été publiés par Mozilla et sont disponibles au téléchargement depuis le 20 juin. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible. 

Informations
+

Risques

  • Exécution de code arbitraire à distance

Criticité

  • Score CVSS : 7.50 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Firefox avant 67.0.4 ;
  • Firefox ESR avant 60.7.2 ;
  • Thunderbird avant 60.7.2 ;

CVE

  • CVE-2019-11707
  • CVE-2019-11708

Recommandations
+

Mise en place de correctif de sécurité

  • Des mises à jour sont proposées par Mozilla.

Solution de contournement

  • Aucune solution de contournement n’est proposée.