CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10822
Vulnérabilités multiples dans Mozilla Firefox et Firefox ESR
Mis à jour: 07/05/2018
Date de la détection
?
06/07/2016
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour contourner les restrictions de sécurité, exécuter du code arbitraire, élever des privilèges, provoquer un déni de service, effectuer des XSS ou obtenir des informations sensibles.

Voici une liste complète des vulnérabilités:

  1. Les bogues de sécurité de la mémoire peuvent être exploités pour exécuter du code arbitraire;
  2. Une mauvaise analyse des fragments HTML5 peut être exploitée à distance via un contenu Web spécialement conçu pour provoquer un déni de service;
  3. Une suppression incorrecte du DOM (Document Object Model) peut être exploitée via des éléments de table spécialement créés dans l'éditeur pour provoquer un déni de service;
  4. Une vulnérabilité inconnue peut être exploitée à distance via un élément <select> spécialement conçu pour usurper le contenu de la barre d'adresse;
  5. Une vulnérabilité inconnue à la bibliothèque graphique d'ANGLE peut être exploitée à distance pour provoquer un déni de service (Windows);
  6. Une vulnérabilité inconnue peut être exploitée à distance via des données URI spécialement conçues pour contourner certaines protections de politique de même origine;
  7. Non verrouillé pour l'écriture de fichiers sur le programme de mise à jour Mozilla peut être exploité localement via une application spécialement conçue pour augmenter les privilèges (Windows);
  8. Un traitement inapproprié des demandes d'autorisation peut être exploité à distance via une page Web spécialement conçue pour obtenir des autorisations, telles que la géolocalisation ou l'accès au microphone;
  9. Une vulnérabilité inconnue peut être exploitée via des requêtes spécialement conçues pour l'usurpation d'identité, le détournement de clics et pour provoquer un déni de service;
  10. Une vulnérabilité inconnue peut être exploitée via une attaque d'empreinte digitale à la divulgation d'informations;
  11. Une médiatisation incorrecte des requêtes réseau sans vérification par rapport à la politique CSP (Content Security Policy) du plugin Java peut être exploitée à distance via un site web spécialement conçu pour mener une attaque XSS.

Détails techniques

Vulnérabilité (2) provoquée par une mauvaise analyse des fragments HTML5 dans un contexte étranger tel que sous un noeud <svg>.

Vulnérabilité (5) provoquée par une vérification incorrecte de la taille lors de l'écriture dans un tableau pendant certaines opérations de shaders WebGL.

La vulnérabilité (6) peut être exploitée pour définir   valeur de location.host   à une chaîne arbitraire.

Vulnérabilité (7) liée aux fichiers extraits par le programme de mise à jour Mozilla à partir d'une archive MAR. Ces fichiers ne sont pas verrouillés pour l'écriture et peuvent être remplacés par d'autres processus pendant l'exécution du programme de mise à jour.

Pour exploiter la vulnérabilité (8), un utilisateur malveillant doit effectuer une série d'autorisations dans un court laps de temps. En tant que résultat, les notifications d'autorisation peuvent afficher l'icône de la mauvaise demande d'autorisation.

La vulnérabilité (9) peut être exploitée lorsque des requêtes appariées plein écran et pointerlock sont effectuées en combinaison avec des fenêtres fermantes. En conséquence, un pointeur peut être créé dans une fenêtre en plein écran sans autorisation de l'utilisateur et ne peut pas être annulé sans terminer le navigateur.

Vulnérabilité (10) causée par le fait que les pseudo-classes CSS peuvent être utilisées par le contenu Web pour fuir des informations sur les plugins installés mais désactivés. Il peut être exploité pour divulguer tous les plugins installés.

Produits concernés

Versions de Mozilla Firefox antérieures à 47
Les versions de Mozilla Firefox ESR antérieures à 45.2

Solution

Mettre à jour à la dernière version
Obtenez Firefox ESR
Obtenir Firefox

Fiches de renseignement originales

Mozilla Foundation Security Advisory 2016-50
Mozilla Foundation Security Advisory 2016-49
Mozilla Foundation Security Advisory 2016-55
Mozilla Foundation Security Advisory 2016-57
Mozilla Foundation Security Advisory 2016-56
Mozilla Foundation Security Advisory 2016-59
Mozilla Foundation Security Advisory 2016-58
Mozilla Foundation Security Advisory 2016-54
Mozilla Foundation Security Advisory 2016-60
Mozilla Foundation Security Advisory 2016-61
Mozilla Foundation Security Advisory 2016-53
Mozilla Foundation Security Advisory 2016-52
Mozilla Foundation Security Advisory 2016-51

Impacts
?
ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Produits liés
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2016-2834
CVE-2016-2833
CVE-2016-2832
CVE-2016-2831
CVE-2016-2829
CVE-2016-2828
CVE-2016-2826
CVE-2016-2825
CVE-2016-2824
CVE-2016-2822
CVE-2016-2821
CVE-2016-2819
CVE-2016-2818
CVE-2016-2815


Lien vers l'original