Vulnérabilité critique corrigée sur Firefox

Une vulnérabilité critique exploitée fréquemment par des attaquants sur Firefox a été corrigée par l’éditeur Mozilla.

CVE-2019-17026 [Score CVSS v3 : en cours de calcul] : La vulnérabilité concerne IonMonkey, un compilateur JavaScript JIT utilisé par SpiderMonkey, le composant principal permettant à Firefox d’effectuer des opérations en JavaScript. L’exploitation de cette vulnérabilité permettrait à un attaquant de prendre le contrôle d’une machine à distance. Il semble que cette vulnérabilité est utilisée activement par des attaquants.

Cette faille est catégorisée comme étant une confusion de type qui est un bogue mémoire où une entrée est initialement allouée à un type (ex : dynamique, statique, etc...) mais est modifiée vers un autre type suite à une manipulation d'un attaquant. Ceci peut provoquer des conséquences inattendues sur le traitement des données y compris la capacité à exécuter du code arbitraire sur un système vulnérable.

Informations
+

Risques

  • Prise de contrôle d’une machine

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible publiquement. Cependant la vulnérabilité semble être utilisée activement par des attaquants.

Composants & versions vulnérables

  • Firefox 72 et versions antérieures
  • Firefox ESR 68.4 et versions antérieures

CVE


Recommandations
+

Mise en place de correctif de sécurité

  • Appliquer le correctif fourni par l’éditeur

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.