Deux vulnérabilités de criticité moyenne corrigées dans la nouvelle mise à jour de sécurité de Firefox pour RedHat Enterprise Linux

Mozilla vient de publier une nouvelle mise à jour de sécurité pour son navigateur web open source Firefox.

Cette version corrige deux vulnérabilités de criticité moyenne. Un attaquant distant pourrait les exploiter pour prendre le contrôle d'un système affecté.

Deux CVEs ont été réservés pour ces vulnérabilités :

  • CVE-2017-7843 pour une faille permettant d'attenter à la confidentialité des utilisateurs sur Firefox. En navigation privée, un Web Worker peut écrire des données dans IndexedDB, qui ne sont pas effacées même après la fermeture et persistent sur plusieurs sessions. Un site Web malveillant pourrait exploiter cette faille afin de contourner les protections de navigation privée et d'identifier les visiteurs.
  • CVE-2017-7844 pour une faille qui permet d’exploiter une combinaison d'une image SVG externe référencée sur une page et la coloration des liens d'ancrage stockés dans cette image pour déterminer les pages d’historique d’un utilisateur. Cela peut permettre à un site Web malveillant d'interroger l'historique de l'utilisateur.
Informations
+

Impact

  • Atteinte de la confidentialité des données.

Criticité

  • CVSS : 7.5 pour la plus critique

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Mozilla Firefox 57 avant 57.0.1

CVE

  • CVE-2017-7843
  • CVE-2017-7844

Recommandations
+

Correctifs

  • Il est recommandé d'appliquer la mise à jour et de passer en version 57.0.1. 

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.