Multiples vulnérabilités dans Mozilla Firefox

De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Un attaquant distant exploitant ces vulnérabilités peut obtenir des informations sensibles, causer un déni de service, une corruption de la mémoire du programme, voire exécuter du code arbitraire.

CVE-2020-12415 [Score CVSS v3 : 6.5] : Une vulnérabilité a été découverte dans le composant AppCache utilisé par Firefox. Un attaquant distant peut effectuer des requêtes normalement non-permises dans le cache de l’utilisateur via un bogue induit par l’encodage de caractères spéciaux dans une URL “manifest”.

CVE-2020-12416 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le composant WebRTC utilisé par Firefox. Un attaquant distant peut causer un déni de service, une corruption de la mémoire ainsi que potentiellement exécuter du code arbitraire, via une condition de compétition dans une fonction du composant.

CVE-2020-12417 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans Firefox et Firefox ESR sur les plateformes ARM64. Un attaquant distant peut provoquer un déni de service, une corruption de la mémoire ainsi que potentiellement exécuter du code arbitraire via un défaut dans le typage de certains objets JavaScript. Cette vulnérabilité ne concerne que les plateformes ARM64.

CVE-2020-12418 [Score CVSS v3 : 6.5] : Une vulnérabilité a été découverte dans Firefox et Firefox ESR. Un attaquant distant peut obtenir des informations sensibles via l’exécution d’un code JavaScript exploitant un bogue dans la manipulation d’objets URL.

CVE-2020-12419 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Firefox et Firefox ESR. Un attaquant distant peut causer un déni de service, une corruption de la mémoire ainsi que potentiellement exécuter du code arbitraire via une situation de compétition liée au “flushing” des fenêtres du navigateur.

CVE-2020-12420 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Firefox et Firefox ESR. Un attaquant distant peut causer un déni de service, une corruption de la mémoire ainsi que potentiellement exécuter du code arbitraire via un bogue dans la connexion à un serveur STUN.

CVE-2020-12426 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans Firefox. Un attaquant distant peut causer un déni de service, une corruption de la mémoire ainsi que potentiellement exécuter du code arbitraire via un bogue dans les mécanismes de protection de la mémoire du programme. 

Informations
+

Risques

  • Fuite d’informations sensibles

  • Déni de service

  • Corruption de la mémoire du programme

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Firefox avant la version 78

  • Firefox ESR avant la version 68.10

CVE

  • CVE-2020-12415

  • CVE-2020-12416

  • CVE-2020-12417

  • CVE-2020-12418

  • CVE-2020-12419

  • CVE-2020-12420

  • CVE-2020-12426


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Firefox ou Firefox ESR vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

  • Aucune solution de contournement n’est disponible