Multiples vulnérabilités identifiées dans Mozilla Firefox

De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une exécution de code arbitraire et un déni de service à distance.

CVE-2019-11751 : [Score CVSSv3 7.7]

Un attaquant pourrait faire exécuter du code arbitraire en exploitant une vulnérabilité dans les paramètres de journalisation

Les paramètres de journalisation en ligne de commande (parametersReporter) ne sont pas correctement nettoyés lorsque Firefox est lancé par un autre programme, par exemple lorsqu'un utilisateur clique sur un lien malveillant dans une application de messagerie instantanée. Cette vulnérabilité pourrait être utilisée pour écrire un fichier journal à un emplacement arbitraire tel que le dossier 'Démarrage' de Windows, permettant ainsi une potentielle exécution de code au démarrage de la machine.

Il est à noter que seules les versions de Firefox pour les systèmes d'exploitation Windows sont affectées par cette vulnérabilité.

CVE-2019-11746 : [Score CVSSv3 7.7]

Une vulnérabilité « use-after-free » (utilisation après désallocation mémoire) a été découverte lors de la manipulation de vidéo dans Firefox.

Une vulnérabilité « use-after-free » (utilisation après désallocation mémoire) peut survenir lors de la manipulation d'éléments vidéo si le corps (« body ») est libéré alors qu'il est encore en cours d'utilisation. Il en résulte un crash du navigateur potentiellement exploitable.

CVE-2019-11753 : [Score CVSSv3 6.8]

Une vulnérabilité permettant une élévation de privilèges a été découverte dans le service de maintenance Mozilla si Firefox est installé dans un emplacement personnalisé.

Le programme d'installation de Firefox permet à Firefox d'être installé à un emplacement personnalisable (il nécessite seulement que l’emplacement soit accessible en écriture par l'utilisateur). Cet emplacement est potentiellement sans protection contre la manipulation par des utilisateurs non privilégiés ou des logiciels malveillants. Or le service de maintenant fonctionne avec des privilèges élevés. Dès lors, un attaquant pourrait altérer le binaire du service de maintenance afin d’élever ses privilèges. Cette attaque est possible à cause d’un manque de contrôle d'intégrité du service de maintenance

Il est à noter que seules les versions de Firefox pour les systèmes d'exploitation Windows sont affectées par cette vulnérabilité. Les versions pour les autres systèmes d’exploitation ne sont pas affectées.

CVE-2019-11744 : [Score CVSSv3 5.3]

Une vulnérabilité de type XSS a été découverte dans le navigateur Mozilla Firefox, elle exploite une mauvaise analyse de la méthode innerHTML pour certains caractères spéciaux.

La méthode innerHTML transforme certains caractères spéciaux en caractère HTML. Par exemple, pour les caractères "&", "<" , ou ">", innerHTML renverra à la place les chaînes suivantes : "&amp;", "&lt;" et "&gt;".

Certains éléments HTML, tels que <title> et <textarea>, peuvent contenir des chevrons mathématiques (caractères Unicode: U+27E8 et U+27E9) sans les traiter comme des chevrons « classiques » (caractères Unicode  U+003C et U+003E). Il est possible de passer un chevron mathématique fermant à la méthode .innerHTML qui traitera la suite des caractères comme en dehors de la balise. Cela peut conduire à XSS si un site ne filtre pas suffisamment les entrées des utilisateurs, notamment pour ces caractères spéciaux.

Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Exécution de code arbitraire
  • Déni de service à distance
  • Déni de service
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Injection de code indirect à distance (XSS)

Criticité

  • Score CVSS : 7.7

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Firefox versions antérieures à Firefox 69
  • Firefox ESR versions antérieures à Firefox ESR 68.1
  • Firefox ESR versions antérieures à Firefox ESR 60.

CVE

  • CVE-2019-5849
  • CVE-2019-9812
  • CVE-2019-11734
  • CVE-2019-11735
  • CVE-2019-11736
  • CVE-2019-11737
  • CVE-2019-11738
  • CVE-2019-11740
  • CVE-2019-11741
  • CVE-2019-11742
  • CVE-2019-11743
  • CVE-2019-11744
  • CVE-2019-11746
  • CVE-2019-11747
  • CVE-2019-11748
  • CVE-2019-11749
  • CVE-2019-11750
  • CVE-2019-11751
  • CVE-2019-11752
  • CVE-2019-11753

 


Recommandations
+

Mise en place de correctif de sécurité

  • Mettre à jour le navigateur Mozilla Firefox vers la version 69
  • Mettre à jour le navigateur Mozilla Firefox ESR vers la version 68.1
  • Mettre à jour le navigateur Mozilla Firefox ESR vers la version 60

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.