Mozilla corrige des vulnérabilités critiques dans ses produits Firefox et Thunderbird

Mozilla a corrigé des vulnérabilités critiques dans ses produits Firefox, Firefox ESR et Thunderbird. L’exploitation de ces failles permettrait de provoquer un déni de service, contourner la politique de sécurité ou exécuter du code arbitraire.

Ces failles ne peuvent pas être exploitées via email dans le produit Thunderbird puisque l'exécution de script est désactivée lors de la lecture du mail. Cependant, des risques potentiels existent dans le navigateur internet. Les failles sont référencées comme suit :

  • CVE-2018-5127 : un dépassement de tampon provoquant un arrêt des applications ;

  • CVE-2018-5129 : une écriture hors limites permettant le contournement de la politique de sécurité ;

  • CVE-2018-5144 : un dépassement d’entier permettant d’exécuter du code arbitraire ou de provoquer un déni de service ;

  • CVE-2018-5146 : une écriture hors limites de la mémoire ;

  • CVE-2018-5125 : une corruption de mémoire permettant d’exécuter du code arbitraire ;

  • CVE-2018-5145 : une corruption de mémoire permettant d’exécuter du code arbitraire.

Informations
+

Impact

  • Déni de service
  • Exécution de code arbitraire
  • Contournement de politique de sécurité

Criticité

  • Score CVSS non défini

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Firefox 58
  • Firefox ESR 52.6 
  • Thunderbird 52.6

CVE

  • CVE-2018-5127
  • CVE-2018-5129
  • CVE-2018-5144
  • CVE-2018-5146
  • CVE-2018-5125
  • CVE-2018-5145

Recommandations
+

Correctifs

  • Des patchs de sécurité ont été publiés : Thunderbird 52.7, Firefox 59, Firefox ESR 52.7.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.