Vulnérabilités dans Firefox et Thunderbird

Date de publication :

Deux vulnérabilités critiques ont été corrigées dans les nouvelles versions de Firefox, Thunderbird et Firefox ESR.

CVE-2020-26951[Score CVSS v3 : 6.1] : Une vulnérabilité a été découverte dans les mécanismes de traitement et de chargement des données dans le code SVG de Firefox, ThunderBird et Firefox ESR. Cette faille peut permettre à un attaquant distant et non-authentifié d’effectuer une attaque de type injection XSS et ce, malgré les protections contre les requêtes malveillantes mises en place par Firefox. 

CVE-2020-26952[Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans Firefox (uniquement). Elle peut permettre à un attaquant distant et non-authentifié de provoquer une corruption de mémoire allouée au navigateur. L’exploitation de cette vulnérabilité peut conduire à un déni de service et/ou à une extraction de données arbitraires. Elle est due à la mauvaise gestion de Firefox des fonctions lors de la compilation à la volée.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Extraction de données sensibles
  • Exécution de code arbitraire
  • Violation des politiques de sécurité
  • Déni de service

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est connu publiquement à ce jour.

Composants vulnérables

  • Firefox (< v83.0)
  • Thunderbird (< v78.5)
  • Firefox ESR (< v78.5)

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mise à jour vers :

  • Firefox version 83.0

  • Thunderbird version 78.5

  • Firefox ESR version 78.5

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à ce jour.

Liens