Vulnérabilités multiples sur Mozilla Firefox
Date de publication :
De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
CVE-2019-17015 [Score CVSS v3 : 8.8] : Lors de l’initialisation d’un nouveau processus, une adresse de pointeur peut être manipulée de façon à aboutir à une corruption de la mémoire et potentiellement à un plantage dans le processus parent.
CVE-2019-17016 [Score CVSS v3 : 6.1] : Lors du collage d’une balise <style> depuis le presse-papiers vers un éditeur de texte enrichi, l’assainisseur CSS réécrit incorrectement une règle @namespace. Ceci pourrait permettre une injection dans certains types de sites internet qui pourrait entraîner une exfiltration de données.
CVE-2019-17017 [Score CVSS v3 : 8.8] : Une vulnérabilité de type « confusion de type » a été identifiée dans Firefox. Celle-ci peut résulter en un plantage qui pourrait être exploité par des attaquants pour exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
- Injection de code à distance
Criticité
- Score CVSS v3 : 8.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est actuellement disponible
Composants vulnérables
- Versions antérieures à Firefox 72
- Versions antérieures à Firefox ESR 68.4
CVE
- CVE-2019-17015
- CVE-2019-17016
- CVE-2019-17017
- CVE-2019-17018
- CVE-2019-17019
- CVE-2019-17020
- CVE-2019-17021
- CVE-2019-17022
- CVE-2019-17023
- CVE-2019-17024
- CVE-2019-17025
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer le correctif fourni par l’éditeur (Firefox 72 et Firefox ESR 68.4)
Solution de contournement
- Aucune solution n’a été proposée autre que la mise à jour