De multiples vulnérabilités corrigées dans Mozilla Firefox

De multiples vulnérabilités ont été corrigées par la mise à jour 56 de Mozilla Firefox et la mise à jour 52.4 de Firefox ESR. Ces mises à jour concernent les vulnérabilités suivantes :

  • Lors de la manipulation d’éléments spécifiques (images, ARIA, API, handshake TLS), une erreur de gestion de la mémoire due à l’utilisation d’une zone préalablement libérée peut survenir et causer un crash potentiel du navigateur.
  • Un buffer overflow peut survenir lors de l’utilisation de la librairie graphique ANGLE et causer un crash du navigateur.
  • Lorsque le contenu d’une page est glissé sur des portions de navigateur comme des onglets, un contrôle de sécurité sur les URI n’est pas effectué, permettant à des pages malveillantes d’accéder en lecture à des fichiers locaux.
  • Il est possible de provoquer une erreur de typage dans le parseur JavaScript du navigateur pour accéder à des zones mémoires restreintes.
  • Plusieurs opérateurs de recherche (data, instanceof, file) permettent de contourner des mécanismes de protection du navigateur pour accéder à des informations techniques.
  • Présence d’une corruption mémoire à l’exécution du navigateur pouvant mener à une exécution de code arbitraire sur le poste.
Informations
+

Impact

  • Déni de service sur le navigateur
  • Divulgation d’informations techniques
  • Lecture de fichiers locaux
  • Contournement des mécanismes antiviraux du navigateur
  • Contournement du Content Security Policy (CSP)
  • Exécution de code arbitraire

Criticité

CVSS3 : 8.8

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Mozilla Firefox versions antérieures à 56
  • Mozilla Firefox ESR versions antérieures à 52.4

CVE

  • CVE-2017-7793
  • CVE-2017-7805
  • CVE-2017-7810
  • CVE-2017-7812
  • CVE-2017-7811
  • CVE-2017-7813
  • CVE-2017-7814
  • CVE-2017-7815
  • CVE-2017-7816
  • CVE-2017-7817
  • CVE-2017-7818
  • CVE-2017-7819
  • CVE-2017-7820
  • CVE-2017-7821
  • CVE-2017-7822
  • CVE-2017-7823
  • CVE-2017-7824
  • CVE-2017-7825

Recommandations
+

Solution de contournement

Il n’existe pas actuellement de solutions de contournement, il est recommandé de mettre à jour Mozilla Firefox avec les correctifs fournis par l’éditeur.

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.