CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Vulnérabilités

Plusieurs vulnérabilités dans Mozilla Firefox et Mozilla Firefox ESR

Kaspersky ID:
KLA11004
Date de la détection:
04/19/2017
Mis à jour:
07/05/2018

Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox et Mozilla Firefox ESR. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, usurper l'interface utilisateur, obtenir des informations sensibles, exécuter du code arbitraire, effectuer des attaques de script intersite, contourner les restrictions de sécurité, obtenir des privilèges et lire / écrire des fichiers locaux.

Voici une liste complète des vulnérabilités:

  1. Une vulnérabilité use-after-free dans SMIL peut être exploitée à distance pour provoquer un déni de service;
  2. Une vulnérabilité use-after-free qui se produit pendant le traitement de la transaction dans l'éditeur peut être exploitée à distance pour provoquer un déni de service;
  3. Une vulnérabilité d'écriture hors limites dans la bibliothèque Graphite 2 peut être exploitée à distance pour provoquer un déni de service;
  4. Une vulnérabilité d'écriture hors limite dans le codage BASE64 dans NSS peut être exploitée à distance pour provoquer un déni de service;
  5. Une vulnérabilité de débordement de tampon dans WebGL peut être exploitée à distance pour provoquer un déni de service;
  6. Une vulnérabilité use-after-free dans la gestion de focus peut être exploitée à distance pour provoquer un déni de service;
  7. Une vulnérabilité use-after-free dans la sélection d'entrée de texte peut être exploitée à distance pour provoquer un déni de service;
  8. Une vulnérabilité use-after-free dans la sélection de trames peut être exploitée à distance pour provoquer un déni de service;
  9. Une vulnérabilité use-after-free dans nsAutoPtr et nsTArrayLength () pendant le traitement XSLT peut être exploitée à distance pour provoquer un déni de service;
  10. Une vulnérabilité use-after-free dans txExecutionState destructor liée au traitement XSLT peut être exploitée à distance pour provoquer un déni de service;
  11. Une vulnérabilité d'utilisation après libération liée à la tenue d'une sélection pendant les événements de défilement peut être exploitée à distance pour provoquer un déni de service;
  12. Une vulnérabilité d'utilisation après libération liée aux changements de style lors de la manipulation d'éléments DOM peut être exploitée à distance pour provoquer un déni de service;
  13. Une vulnérabilité de corruption de mémoire liée aux manipulations DOM de l'arbre d'accessibilité peut être exploitée à distance pour provoquer un déni de service;
  14. Une vulnérabilité d'écriture hors limites dans le décodage BinHex peut être exploitée à distance pour provoquer un déni de service;
  15. Une vulnérabilité de débordement de tampon dans un contenu au format application / http-index peut être exploitée à distance pour permettre la lecture hors-limites de données à partir de la mémoire;
  16. Une vulnérabilité de lecture hors limites liée à des trames de données HTTP / 2 envoyées avec un contenu de données incorrect peut être exploitée à distance pour provoquer un déni de service;
  17. Une vulnérabilité de lecture hors limites liée au traitement des glyphes peut être exploitée à distance pour provoquer un déni de service;
  18. Une vulnérabilité de lecture hors limites dans ConvolvePixel peut être exploitée à distance pour provoquer un déni de service;
  19. Une vulnérabilité d'écriture hors-limites dans ClearKeyDecryptor peut être exploitée à distance pour provoquer un déni de service;
  20. Plusieurs vulnérabilités de lecture hors-limites dans la bibliothèque Libevent peuvent être exploitées à distance pour provoquer un déni de service;
  21. Une vulnérabilité potentielle de débordement de tampon dans le code généré par flex peut être exploitée à distance pour provoquer un déni de service;
  22. Une lecture de vulnérabilité de mémoire non initialisée dans un contenu au format application / http-index peut être exploitée à distance pour lire de la mémoire non initialisée;
  23. Une génération de numéro DRBG incorrecte dans la bibliothèque NSS (Network Security Services) peut être exploitée à distance pour éventuellement provoquer un déni de service ou exécuter du code arbitraire;
  24. Plusieurs vulnérabilités de corruption de la mémoire, dues à des bogues liés à la sécurité de la mémoire, peuvent être exploitées à distance pour exécuter du code arbitraire
  25. Vulnérabilité de confusion d'origine liée au rechargement de données isolées: l'URL text / html peut être exploitée à distance pour exécuter une attaque XSS (cross-site scripting);
  26. Une mauvaise gestion de l'échappement sandbox peut être exploitée à distance via le sélecteur de fichiers via des chemins relatifs pour contourner les restrictions de sécurité et obtenir des privilèges (accès en lecture seule au système de fichiers local);
  27. Un traitement incorrect des API de lecteurs de flux internes qui traversent la barrière de sandbox peut être exploité à distance pour obtenir des privilèges et éventuellement exécuter du code arbitraire dans le processus sandbox;
  28. Un travail incorrect de constructeur de demande de système de fichiers dans le bac à sable peut être exploité à distance via un message IPC spécialement conçu pour contourner les restrictions de sécurité, lire et écrire des fichiers dans le système local;
  29. Une vulnérabilité potentielle liée à la mise en page et à la manipulation de texte unicode bidirectionnel de concert avec des animations CSS peut être exploitée à distance pour provoquer un déni de service;
  30. Une vulnérabilité de spoofing de la barre d'adresse dans un événement onblur peut être exploitée à distance pour que le site chargé apparaisse différent de celui réellement chargé dans la barre d'adresse;
  31. Une corruption de mémoire potentielle survenant lors du dessin du contenu Skia en dehors des limites d'une région de découpage peut être exploitée à distance, probablement pour provoquer un déni de service;
  32. Une gestion incorrecte des caractères d'échappement envoyés en tant que paramètres d'URL pour l'élément title d'un flux tout en injectant du code HTML statique dans la page d'aperçu du lecteur RSS peut être exploitée à distance pour usurper l'interface utilisateur;
  33. Une manipulation incorrecte du glisser-déposer d'une javascript: URL dans la barre d'adresse peut être exploitée à distance pour effectuer une attaque XSS (cross-site scripting) sur eux-mêmes;
  34. Un problème avec un modèle de propriété incorrect d'informations privateBrowsing (qui est exposé via des outils deleveloper) peut être exploité à distance pendant le débogage pour provoquer un déni de service.

Détails techniques

Une vulnérabilité (23) peut affecter le texte affiché de sorte que le site chargé apparaisse différent de celui qui doit être chargé dans la barre d'adresse.

La vulnérabilité (29) se produit parce que les valeurs unitialized sont utilisées pour créer un tableau.

Une vulnérabilité (31) se produit car dans la bibliothèque NSS, l'état interne V ne transporte pas correctement les bits.

Les vulnérabilités 1-24 sont liées à Mozilla Firefox ESR avant 45.9

Les vulnérabilités 1-31 sont liées à Mozilla Firefox ESR avant 52.1

Toutes les vulnérabilités sont liées à Mozilla Firefox.

NB: Cette vulnérabilité n'a pas d'évaluation CVSS publique, donc la notation peut être changée par le temps.

NB: À ce moment, Mozilla a réservé des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt.

Fiches de renseignement originales

Liste CVE

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Kaspersky ID
Vulnérabilité
Detect date
Sévérité
Confirm changes?
Your message has been sent successfully.