Mozilla corrige plusieurs vulnérabilités dans Firefox et Firefox ESR

Mozilla a corrigé des vulnérabilités critiques dans ses produits Firefox et Firefox ESR. L’exploitation de ces failles permettrait notamment de provoquer un déni de service, d'élever ses privilèges, de contourner la politique de sécurité ou d'exécuter du code arbitraire.

Les vulnérabilités corrigées ont été référencées entre CVE-2018-5151 et CVE-2018-5183 :

  • Trois vulnérabilités sont critiques. Elles concernent des problèmes de corruption de mémoire et spécifiquement des lectures et écritures de tampon non valides. Leur exploitation permettrait de provoquer des dénis de service ou d'exécuter du code arbitraire ;
  • Onze vulnérabilités de criticité élevée permettent, entre autres, l'utilisation de mémoire après sa libération, des dépassements de tampon et d’entier, et le contournement de politique de sécurité ;
  • Quinze vulnérabilités de criticité modérée liées à des lectures hors limites, des contournements de politique et des débordements de tampon ;
  • Les vulnérabilités restantes sont de criticité faible et affectent quelques composants de l’interface utilisateur des versions Firefox antérieures à 60.
Informations
+

Impact

  • Déni de service ;

  • Exécution de code arbitraire à distance ;

  • Elévation de privilèges ;

  • Atteinte de confidentialité/intégrité des données.

Criticité

  • CVSS v3 : Les scores CVSS n'ont pas encore été évalués.

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Mozilla Firefox, les versions antérieures à 60 ;

  • Mozilla Firefox ESR, les versions antérieures à ESR 52.8.

CVE

  • CVE-2018-5183

  • CVE-2018-5154

  • CVE-2018-5155

  • CVE-2018-5157

  • CVE-2018-5158

  • CVE-2018-5159

  • CVE-2018-5168

  • CVE-2018-5174

  • CVE-2018-5178

  • CVE-2018-5150

  • CVE-2018-5160

  • CVE-2018-5152

  • CVE-2018-5153

  • CVE-2018-5163

  • CVE-2018-5164

  • CVE-2018-5166

  • CVE-2018-5167

  • CVE-2018-5169

  • CVE-2018-5172

  • CVE-2018-5173

  • CVE-2018-5175

  • CVE-2018-5176

  • CVE-2018-5177

  • CVE-2018-5165

  • CVE-2018-5180

  • CVE-2018-5181

  • CVE-2018-5182
  • CVE-2018-5151


Recommandations
+

Correctifs

  • Des patchs de sécurité ont été publiés : Firefox 60 et Firefox ESR 52.8.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.