Vulnérabilités au sein des navigateurs Mozilla Firefox et Firefox ESR

CVE-2021-29993 [Score CVSS v3.1 : 4,7 ]
Firefox pour Android autorise les navigations via le protocole intent://, un attaquant distant et non authentifié ce qui pouvait être utilisé pour provoquer un plantage du navigateur et des usurpations d'interface web.

Cette vulnérabilité n'affecte que Firefox pour Android. Les autres systèmes d'exploitation ne sont pas concernés.

CVE-2021-38493 [Score CVSS v3.1 : 7,5]
Plusieurs vulnérabilités liées à une gestion incorrecte de la mémoire dans Firefox 91 et Firefox ESR 78.13. L’exploitation de ces failles pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire.

CVE-2021-38494 [Score CVSS v3.1 : 7,5]
Plusieurs vulnérabilités liées à une gestion incorrecte de la mémoire dans Firefox 91. L’exploitation de ces failles pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire.

Informations
+

Risques

  • Déni de service
  • Usurpation de page Web
  • Exécution de code arbitraire

Criticité

  • Scores CVSS v3.1 : 7,5 max

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Mozilla Firefox versions antérieures à 92
  • Mozilla Firefox ESR versions antérieures à 78.13

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Firefox vers la version 92.
  • Mettre à jour Firefox ESR vers la version 78.13.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.