Vulnérabilités dans Mozilla Firefox

Plusieurs vulnérabilités ont été corrigées dans Firefox et Firefox ESR. Elles peuvent permettre à un attaquant de provoquer une corruption de la mémoire, une exécution de code arbitraire ou un déni de service.

CVE-2020-15254 [Score CVSS v3 : 8.1] : Une vulnérabilité due à des restrictions incorrectes dans la mémoire tampon a été découverte dans le composant Crossbeam utilisé par Firefox. Elle peut conduire à une corruption de la mémoire.

CVE-2020-15683 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans Firefox et Firefox ESR. Un attaquant distant exploitant cette vulnérabilité peut potentiellement exécuter du code arbitraire via des bogues dans les mécanismes de protection mémoire.

CVE-2020-15684 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans Firefox. Un attaquant distant exploitant cette vulnérabilité peut potentiellement exécuter du code arbitraire via des bogues dans les mécanismes de protection mémoire.

CVE-2020-15969 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “use-after-free” a été découverte dans le composant usersctp de Firefox. Un attaquant distant peut provoquer une corruption de la mémoire, ainsi qu’un déni de service (plantage du programme) pouvant résulter en une exploitation de code arbitraire.

Informations
+

Risques

  • Exécution de code arbitraire

  • Déni de service

  • Corruption de la mémoire

Criticité

  • Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Firefox avant la version 82

  • Firefox ESR avant la version 78.4

CVE

  • CVE-2020-15684

  • CVE-2020-15683

  • CVE-2020-15682

  • CVE-2020-15681

  • CVE-2020-15680

  • CVE-2020-15254

  • CVE-2020-15969


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Firefox vers la version 82

  • Mettre à jour Firefox ESR vers la version 78.4

Solution de contournement

  • Aucune solution de contournement n’est disponible