Multiples vulnérabilités dans Mozilla

Date de publication :

CVE-2022-38473[Score CVSS v3.1:8.8]
Des restrictions insuffisantes dans les références des balises iframe vers un document XSLT permet à un attaquant distant, en persuadant sa victime à visiter une page web spécifiquement forgée, de contourner la politique de sécurité afin d’obtenir des droits sur le système.

CVE-2022-38476[Score CVSS v3.1:8.8]
Une erreur de libération de mémoire dans la fonction PK11_ChangePW, une fonction de changement cryptographique de mot de passe, permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

CVE-2022-38477[Score CVSS v3.1:8.8]
Un défaut de mémoire dans le moteur de recherche permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

CVE-2022-38478[Score CVSS v3.1:8.8]
Un défaut de mémoire dans le moteur de recherche permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Contournement de la politique de Sécurité
  • Déni de service

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-264: Permissions, Privileges, and Access Controls

CWE-416: Use After Free

En cours de Recherche

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour les CVE-2022-38473 et CVE-2022-38478

  • Mozilla Firefox 103
  • Mozilla Firefox ESR 102.1
  • Mozilla Firefox ESR 91.12
  • Mozilla Thunderbird 102.1
  • Mozilla Thunderbird 91.12

Pour la CVE-2022-38476

  • Mozilla Firefox ESR 102.1
  • Mozilla Thunderbird 102.1

Pour la CVE-2022-38477

  • Mozilla Firefox 103
  • Mozilla Firefox ESR 102.1
  • Mozilla Thunderbird 102.1

Solutions ou recommandations

  • Mettre à jour Mozilla Firefox vers la version 104 ou une version supérieure (plus d’informations ici).

  • Mettre à jour Mozilla Firefox 91 et 102 vers les versions 91.13 et 102.2 ou une version supérieure (plus d’informations ici ou ici).

  • Mettre à jour Mozilla Thunderbird 91 et 102 vers les versions 91.13 et 102.2 ou une version supérieure (plus d’informations ici ou ici).

Liens