Vulnérabilités dans les produits Mozilla (Firefox, Thunderbird)

Plusieurs vulnérabilités ont été corrigées dans le navigateur web Mozilla Firefox et le client de courriels Mozilla Thunderbird. Parmi celles-ci, des vulnérabilités classées comme ayant un impact “high” peuvent permettre à un attaquant de corrompre la mémoire du programme, ainsi que conduire à une exécution de code arbitraire.

CVE-2020-6796 [Score CVSS v3 : 8.8] : il est possible pour un processus d’affichage de contenu de modifier des valeurs de la mémoire partagée utilisée par Firefox pour reporter des informations de plantage. Ce scénario conduit à un plantage du processus en question et à une écriture hors-limites en mémoire, résultant en une corruption de cette dernière et à une potentielle exécution de code arbitraire. 

CVE-2020-6800, CVE-2020-6801 [Score CVSS v3 : 8.8] : plusieurs problèmes de sécurité mémoire ont été corrigés dans Mozilla Firefox et Mozilla Thunderbird. Certaines fonctionnalités de protection de la mémoire, comme les protections contre les dépassements de tampon et les dangling pointers n’étaient pas correctement assurées. Cette situation aurait pu conduire à des attaques résultant en une exécution de code arbitraire.

Informations
+

Risques

  • Corruption de la mémoire du processus
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible à ce jour

Composants vulnérables

  • Mozilla Firefox jusqu’à la version 73
  • Mozilla Firefox ESR jusqu’à la version 68.5
  • Mozilla Thunderbird jusqu’à la version 68.5

CVE

  • CVE-2020-6796
  • CVE-2020-6800
  • CVE-2020-6801

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Mozilla Firefox vers la version 73
  • Mettre à jour Mozilla Firefox ESR vers la version 68.5
  • Mettre à jour Mozilla Thunderbird vers la version 68.5

Solution de contournement

  • Pas de solution de contournement disponible