Vulnérabilités multiples sur Mozilla Firefox

De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

CVE-2019-17015 [Score CVSS v3 : 8.8] : Lors de l’initialisation d’un nouveau processus, une adresse de pointeur peut être manipulée de façon à aboutir à une corruption de la mémoire et potentiellement à un plantage dans le processus parent.

CVE-2019-17016 [Score CVSS v3 : 6.1] : Lors du collage d’une balise <style> depuis le presse-papiers vers un éditeur de texte enrichi, l’assainisseur CSS  réécrit incorrectement une règle @namespace. Ceci pourrait permettre une injection dans certains types de sites internet qui pourrait entraîner une exfiltration de données.

CVE-2019-17017 [Score CVSS v3 : 8.8] : Une vulnérabilité de type « confusion de type » a été identifiée dans Firefox. Celle-ci peut résulter en un plantage qui pourrait être exploité par des attaquants pour exécuter du code arbitraire.

Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données
  • Injection de code à distance

Criticité

  • Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est actuellement disponible

Composants vulnérables

  • Versions antérieures à Firefox 72
  • Versions antérieures à Firefox ESR 68.4

CVE

  • CVE-2019-17015
  • CVE-2019-17016
  • CVE-2019-17017
  • CVE-2019-17018
  • CVE-2019-17019
  • CVE-2019-17020
  • CVE-2019-17021
  • CVE-2019-17022
  • CVE-2019-17023
  • CVE-2019-17024
  • CVE-2019-17025

Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer le correctif fourni par l’éditeur (Firefox 72 et Firefox ESR 68.4)

Solution de contournement

  • Aucune solution n’a été proposée autre que la mise à jour