Trois vulnérabilités ont été identifiées et corrigées sur les produits de Mozilla

Plusieurs vulnérabilités ont été identifiées et corrigées sur les produits de Mozilla. Elles provoquent une corruption de la mémoire, un arrêt du processus en cours d’exécution ou permettent le contournement d’une politique de sécurité. On retrouve ainsi :

  • Une vulnérabilité de type "use after free" (CVE-2017-7828) provoquée suite au redimensionnement de la structure d'un objet Powershell pendant son utilisation. L’exploitation de cette vulnérabilité peut entrainer l'arrêt du processus en cours.
  • Une vulnérabilité de type « cross-origin url » (CVE-2017-7830), exploitable depuis la « Resource Timing API », une API permettant d’extraire et d’analyser les données d’horodatage détaillées du réseau. Cette vulnérabilité permet de contourner la politique de sécurité « same-origin » qui interdit l’utilisation simultanée de ressources ayant des origines différentes.
  • Des bugs (CVE-2017-7826) ont été identifiés et corrigés dans Firefox 56, Firefox ESR 52.4 et Thunderbird 52.4. Ces bugs peuvent être exploités pour corrompre la mémoire et exécuter du code arbitraire.
Informations
+

Impact

  • Exécution de code arbitraire
  • Contournement de politique de sécurité
  • Déni de service

Criticité

  • CVSS v3 : Majeur

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Thunderbird 52.4
  • Firefox 56
  • Firefox ESR 52.4

CVE

  • CVE-2017-7826
  • CVE-2017-7828
  • CVE-2017-7830

Recommandations
+

Correctifs

Mozilla a publié de nouvelles versions corrigeant les vulnérabilités identifiées. Il est recommandé de mettre à jour les produits à la dernière version disponible.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.