De multiples vulnérabilités corrigées sur la nouvelle mise à jour de sécurité publiée par Mozilla pour Firefox et Firefox ESR

Mozilla vient de publier une nouvelle mise à jour de sécurité pour ses produits Firefox et Firefox ESR. Cette version corrige principalement deux vulnérabilités de criticité moyenne. Un attaquant distant pourrait les exploiter pour attenter à la confidentialité des données ou pour provoquer un déni de service.

Trois CVEs ont été réservés pour ces vulnérabilités :

  • CVE-2017-7843 pour une faille permettant d'attenter à la confidentialité des utilisateurs sur Firefox. En navigation privée, un Web Worker peut écrire des données dans IndexedDB, qui ne sont pas effacées même après la fermeture et persistent sur plusieurs sessions. Un site Web malveillant pourrait exploiter cette faille afin de contourner les protections de navigation privée et d'identifier les visiteurs.
  • CVE-2017-7844 pour une faille qui permet d’exploiter une combinaison d'une image SVG externe référencée sur une page et la coloration des liens d'ancrage stockés dans cette image pour déterminer les pages d’historique d’un utilisateur. Cela peut permettre à un site Web malveillant d'interroger l'historique de l'utilisateur.
  • CVE-2017-7845 pour une faille de dépassement de tampon qui se produit lors du dessin et de la validation d'éléments à l'aide de Direct 3D 9 avec la bibliothèque graphique ANGLE, utilisée pour le contenu WebGL. Cela est dû à une valeur incorrecte transmise au sein de la bibliothèque lors des vérifications et aboutit à un plantage permettant potentiellement d'exploiter le navigateur.
Informations
+

Impact

  • Atteinte à la confidentialité des données.
  • Déni de service.

Criticité

  • CVSS : 7.5

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Mozilla Firefox 57 avant 57.0.1
  • Mozilla Firefox ESR versions antérieures à 52.5.2

CVE

  • CVE-2017-7843
  • CVE-2017-7844
  • CVE-2017-7845

Recommandations
+

Correctifs

Il est recommandé d'appliquer la mise à jour et de passer en version 57.0.1 pour Firefox et 52.5.2 pour Firefox ESR

Solution de contournement

Il n’existe pas actuellement de solution de contournement.