Multiples vulnérabilités dans Firefox

De multiples vulnérabilités ont été découvertes dans Firefox. Relatives à des problèmes de gestion de la mémoire, elles permettent à un attaquant distant de provoquer des plantages du navigateur pouvant potentiellement mener à des exécutions de code arbitraire.

CVE-2020-6805 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Firefox, survenant lors de la suppression de données après la fermeture d’un onglet. Un attaquant exploitant cette faille avec succès peut provoquer un plantage du navigateur menant potentiellement à une exécution de code arbitraire.

CVE-2020-6806 [Score CVSS v3 : 8.8] : Une vulnérabilité de type lecture hors-limites a été découverte dans Firefox. Un attaquant manipulant une résolution de “promise” spécialement conçue lors de l’exécution d’un script peut mener à un plantage du navigateur voire une corruption de sa mémoire.

CVE-2020-6807 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Firefox, lors de la destruction d’un flux de lecture audio, après laquelle certaines tâches manipulant celui-ci peuvent toujours être exécutées. Un attaquant exploitant cette faille avec succès peut provoquer un plantage du navigateur menant potentiellement à une exécution de code arbitraire.

CVE-2020-6814 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à des bogues de protection de la mémoire a été découverte dans Firefox. Il a été établi que ceux-ci conduisent à une corruption de la mémoire du navigateur, pouvant potentiellement mener à une exécution de code arbitraire.

CVE-2020-6815 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à des bogues de protection de la mémoire et de sécurisation des scripts a été découverte dans Firefox. Il a été établi que ceux-ci conduisent à une corruption de la mémoire du navigateur, pouvant potentiellement mener à une exécution de code arbitraire.

Informations
+

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement pour l’instant

Composants vulnérables

  • Firefox ESR avant la version 68.6
  • Firefox avant la version 74

CVE

  • CVE-2020-6805
  • CVE-2020-6806
  • CVE-2020-6807
  • CVE-2020-6814
  • CVE-2020-6815

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre en place Firefox vers une version non-vulnérable:
    • 68.6 pour Firefox ESR
    • 74 pour Firefox

Solution de contournement

  • Aucune solution de contournement n’est disponible