Vulnérabilités dans plusieurs produits de Mozilla

Date de publication :

Ces deux vulnérabilités concernent plusieurs produits Mozilla (Firefox, ESR, Focus et Thunderbird).

Mozilla Firefox : il s’agit d’un navigateur web gratuit et libre.

Mozilla Extended Support Release (ESR) : c’est une offre longue durée destinée aux grandes organisations qui utilisent le navigateur Firefox. Cette offre apporte un support pour le maintien du navigateur dans le contexte d’un déploiement à grande échelle.

Mozilla Focus : c’est un navigateur dédié à la protection de la vie privée.

Mozilla Thunderbird : il s’agit d’une application libre de messagerie.
 

CVE-2022-26485[Score CVSS v3.1: 8.8]
Une configuration incorrecte de l'accès mémoire lors du traitement des données XSLT peut permettre une attaque par XSS. Un attaquant incitant un utilisateur à visiter un site web peut provoquer un déni de service ou exécuter du code arbitraire sur son système.
 

CVE-2022-26486[Score CVSS v3.1: 8.8]
Une configuration incorrecte de l'accès mémoire dans la communication interprocessus WebGPU peut permettre une attaque XSS. Un attaquant incitant un utilisateur à visiter un site web peut provoquer un déni de service ou exécuter du code arbitraire sur son système.
 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Oui, pour les 2 CVE présentées

Un correctif existe

  • Oui, pour les 2 CVE présentées

Une mesure de contournement existe

  • Non, pour les 2 CVE présentées

 

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-26485

Pour la CVE-2022-26486

Détails sur l’exploitation

Pour la CVE-2022-26485CVE-2022-26486

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables

Pour la CVE-2022-26485CVE-2022-26486

  • Pour Firefox, il s'agit des versions antérieures à 97.0.2
  • Pour Firefox ESR, il s'agit des versions antérieures à 91.6.1
  • Pour Firefox pour Android, il s'agit des versions antérieures à 97.3
  • Pour Focus, il s'agit des versions antérieures à 97.3
  • Pour Thunderbird, il s'agit des versions antérieures à 91.6.2

Solutions ou recommandations

Pour la CVE-2022-26485CVE-2022-26486

  • Des informations supplémentaires dans le bulletin officiel de Mozilla sont disponibles ici.
  • Pour Firefox, appliquer la mise à jour vers la version 97.0.2.
  • Pour Firefox ESR, appliquer la mise à jour vers la version 91.6.1.
  • Pour Firefox Android, appliquer la mise à jour vers la version 97.3.0.
  • Pour Focus, appliquer la mise à jour vers la version 97.3.0.

Liens