Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, contourner les restrictions de sécurité ou exécuter du code arbitraire.
Voici une liste complète des vulnérabilités
- La vulnérabilité Use-after-free peut être exploitée à distance via une page Web spécialement conçue pour provoquer un déni de service ou exécuter du code arbitraire;
- Le manque de restrictions au niveau du mécanisme d'installation des modules complémentaires peut être exploité à distance via une page Web spécialement conçue pour contourner les restrictions de sécurité.
Détails techniques
(1) peut être exploitée via un élément <canvas> spécialement conçu. Se produit lorsque l'événement de redimensionnement coopère avec les modifications de style, ce qui provoque la recréation de la référence de canevas d'origine.
Normalement, lorsque l'utilisateur entre l'URL d'un add-on directement, les avertissements sont ignorés car il résulte de l'action directe de l'utilisateur. data: l'URL pourrait être manipulée pour simuler l'entrée directe de l'utilisateur à exploiter (2) . L'URL peut également être usurpée pour manipuler l'utilisateur en lui faisant croire à tort que l'installation a été initiée par un site de confiance.
Fiches de renseignement originales
Liste CVE
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com