De multiples vulnérabilités ont été corrigées par la mise à jour 56 de Mozilla Firefox et la mise à jour 52.4 de Firefox ESR. Ces mises à jour concernent les vulnérabilités suivantes :
- Lors de la manipulation d’éléments spécifiques (images, ARIA, API, handshake TLS), une erreur de gestion de la mémoire due à l’utilisation d’une zone préalablement libérée peut survenir et causer un crash potentiel du navigateur.
- Un buffer overflow peut survenir lors de l’utilisation de la librairie graphique ANGLE et causer un crash du navigateur.
- Lorsque le contenu d’une page est glissé sur des portions de navigateur comme des onglets, un contrôle de sécurité sur les URI n’est pas effectué, permettant à des pages malveillantes d’accéder en lecture à des fichiers locaux.
- Il est possible de provoquer une erreur de typage dans le parseur JavaScript du navigateur pour accéder à des zones mémoires restreintes.
- Plusieurs opérateurs de recherche (data, instanceof, file) permettent de contourner des mécanismes de protection du navigateur pour accéder à des informations techniques.
- Présence d’une corruption mémoire à l’exécution du navigateur pouvant mener à une exécution de code arbitraire sur le poste.
Informations
+
Impact
- Déni de service sur le navigateur
- Divulgation d’informations techniques
- Lecture de fichiers locaux
- Contournement des mécanismes antiviraux du navigateur
- Contournement du Content Security Policy (CSP)
- Exécution de code arbitraire
Criticité
CVSS3 : 8.8
Existence d’un code d’exploitation de la vulnérabilité
Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Mozilla Firefox versions antérieures à 56
- Mozilla Firefox ESR versions antérieures à 52.4
CVE
- CVE-2017-7793
- CVE-2017-7805
- CVE-2017-7810
- CVE-2017-7812
- CVE-2017-7811
- CVE-2017-7813
- CVE-2017-7814
- CVE-2017-7815
- CVE-2017-7816
- CVE-2017-7817
- CVE-2017-7818
- CVE-2017-7819
- CVE-2017-7820
- CVE-2017-7821
- CVE-2017-7822
- CVE-2017-7823
- CVE-2017-7824
- CVE-2017-7825
Recommandations
+
Solution de contournement
Il n’existe pas actuellement de solutions de contournement, il est recommandé de mettre à jour Mozilla Firefox avec les correctifs fournis par l’éditeur.
Existence d’un code d’exploitation de la vulnérabilité
Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.
Liens
+