Vulnérabilités dans Mozilla Firefox

De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Un attaquant distant peut contourner des politiques de sécurité, provoquer un déni de service ainsi que potentiellement exécuter du code arbitraire.

CVE-2020-15652 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité résultant en une fuite d’informations a été découverte dans Firefox. Un attaquant distant peut, via l’observation de messages d’erreur, déterminer le résultat d’une requête de type “cross-origin”. Cette vulnérabilité résulte en un possible contournement de la politique de même origine, facilitant ainsi grandement une attaque XSS (“cross-site scripting”) pour l’attaquant.

CVE-2020-6514 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité résultant en une fuite d’informations sensibles a été découverte dans le composant WebRTC utilisé par Firefox. Un attaquant distant peut obtenir des adresses d’objets contenus en mémoire, facilitant le contournement de politiques de protection de la mémoire du système.

CVE-2020-15655 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité permettant un contournement d’une politique de sécurité a été découverte dans Firefox. Un attaquant distant peut contourner la politique de même origine via l’utilisation de l’API des extensions du navigateur. Cette vulnérabilité résulte en un possible contournement de la politique de même origine, facilitant ainsi grandement une attaque XSS (“cross-site scripting”) pour l’attaquant.

CVE-2020-15659 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité a été découverte dans les mécanismes de protection mémoire utilisés par Firefox. Un attaquant distant peut provoquer une corruption de la mémoire via l’utilisation de bogues non-spécifiés, résultant en un potentiel déni de service, voire une exécution de code arbitraire.

Informations
+

Risques

  • Contournement de politiques de sécurité (politique de même origine et mécanismes de protection mémoire du système)

  • Corruption mémoire

  • Déni de service

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : en cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Firefox avant la version 79

CVE

  • CVE-2020-6514

  • CVE-2020-15652

  • CVE-2020-15655

  • CVE-2020-15659


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Firefox vers la version 79

Solution de contournement

  • Aucune solution de contournement n’est disponible