Vulnérabilités dans Mozilla Firefox, Firefox ESR et Thunderbird

CVE-2021-23994 [Score CVSS v3 : En cours de calcul] : Un tampon mémoire WebGL n'était pas initialisé assez tôt, ce qui peut entraîner une corruption de la mémoire et une écriture hors limites.

CVE-2021-23995 [Score CVSS v3 : En cours de calcul] : Lorsque le mode "Responsive Design" est activé, il utilise des références à des objets qui ont été libérés précédemment. L’exploitation de cette faille de type “use-after-free” peut potentiellement permettre à un attaquant d'exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-23996 [Score CVSS v3 : En cours de calcul] : En utilisant le CSS 3D avec du code Javascript, le contenu peut être rendu en dehors de la fenêtre d'affichage de la page Web. Un attaquant distant et non-authentifié peut alors potentiellement procéder à une usurpation d'identité dans le cas d’une attaque par hameçonnage.

Les vulnérabilités suivantes concernent uniquement Firefox :

CVE-2021-23997 [Score CVSS v3 : En cours de calcul] : En raison de conversions de types de données inattendues, un "use-after-free" peut se produire lors de l'interaction avec le cache des polices. Son exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-29947 [Score CVSS v3 : En cours de calcul] : Plusieurs dysfonctionnements liés à la gestion de la mémoire ont été signalés. Certains de ces bogues présentent des signes de corruption de la mémoire. Leur exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire sur les dispositifs vulnérables.

Informations
+

Risques

  • Exécution de code arbitraire

  • Usurpation d’identité

Criticité

  • Scores CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Les versions de Mozilla Firefox antérieures à 88 sont impactées par ces vulnérabilités.

  • Les versions de Mozilla Firefox ESR antérieures à 78.10 sont impactées par ces vulnérabilités.

  • Les versions de Mozilla Thunderbird antérieures à 78.10 sont impactées par ces vulnérabilités.

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mozilla Firefox 88

  • Mozilla Firefox ESR 78.10

  • Mozilla Thunderbird 78.10

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.