CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA11044
Plusieurs vulnérabilités dans Mozilla Firefox et Mozilla Firefox ESR
Mis à jour: 07/05/2018
Date de la détection
?
06/13/2017
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Firefox et Firefox ESR. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour obtenir des privilèges, provoquer un déni de service, lire et écrire des fichiers locaux, usurper l'interface utilisateur et contourner les restrictions de sécurité.

Voici une liste complète des vulnérabilités:

  1. Une vulnérabilité d'utilisation après libération liée à l'utilisation de nœuds détruits lors de la régénération d'arbres peut être exploitée à distance pour provoquer un déni de service;
  2. Une vulnérabilité use-after-free liée au rechargement de docshell peut être exploitée à distance pour provoquer un déni de service;
  3. Une vulnérabilité d'utilisation après libération liée aux opérations de contrôle vidéo avec des éléments de piste peut être exploitée pour provoquer un déni de service;
  4. Une vulnérabilité sans utilisation liée aux écouteurs du visualiseur de contenu peut être exploitée à distance pour provoquer un déni de service;
  5. Une vulnérabilité d'utilisation après libre liée aux interactions de l'utilisateur avec l'éditeur de méthode d'entrée (IME) peut être exploitée à distance pour provoquer un déni de service;
  6. Une vulnérabilité de lecture hors limites liée aux objets ImageInfo dans WebGL peut être exploitée à distance pour provoquer un déni de service;
  7. Une vulnérabilité non spécifiée dans le programme d'installation de Firefox peut être exploitée à distance via des fichiers dll spécialement conçus et stockés dans le même répertoire avec un programme d'installation pendant qu'il s'exécute pour obtenir des privilèges;
  8. Des vulnérabilités liées à la journalisation des erreurs d'en-tête XHR peuvent être exploitées à distance pour provoquer un déni de service;
  9. Une vulnérabilité de type use-after-free liée à IndexedDB peut être exploitée à distance pour provoquer un déni de service;
  10. Plusieurs vulnérabilités dans la bibliothèque Graphite 2 peuvent être exploitées à distance pour provoquer un déni de service;
  11. Une vulnérabilité de lecture hors limites dans l'encodeur Opus peut être exploitée à distance pour provoquer un déni de service;
  12. Une mauvaise gestion du paramètre callback dans Mozilla Windows Updater et Maintenance Service peut être exploitée à distance via un chemin spécialement conçu pour obtenir des privilèges, lire et écrire des fichiers locaux;
  13. Une mauvaise gestion des droits de fichier pour un répertoire temporaire créé par l'application Mozilla Maintenance Service helper.exe peut être exploitée à distance pour obtenir des privilèges, lire et écrire des fichiers locaux;
  14. Une mauvaise manipulation des Syllabics canadiens et d'autres blocs Unicode peut être exploitée à distance pour usurper le domaine;
  15. Un décapage incorrect de la section du nom d'utilisateur et du mot de passe des URL affichées dans la barre d'adresse peut être exploité à distance pour usurper l'interface utilisateur;
  16. Une mauvaise manipulation des noms de fichiers longs lors du téléchargement de "Mark of the Web" peut être exploitée à distance pour contourner les restrictions de sécurité;
  17. Une mauvaise gestion du contenu de updater.ini dans Mozilla Windows Updater peut être exploitée à distance pour lire et écrire des fichiers locaux;
  18. Une vulnérabilité non spécifiée dans Mozilla Maintenance Service peut être exploitée à distance pour obtenir des privilèges et écrire des fichiers locaux;
  19. Une vulnérabilité dans Mozilla Maintenance Service qui permet à un utilisateur non privilégié de lire des fichiers arbitraires de 32 octets peut être exploitée à distance pour contourner les restrictions de sécurité (protection du système contre les utilisateurs sans aucun privilège);
  20. Les failles de corruption de mémoire multiples qui se produisent à cause de bogues de sécurité de la mémoire peuvent être exploitées à distance pour exécuter du code arbitraire.

Détails techniques

Les vulnérabilités 1-14 sont liées à Mozilla Firefox ESR.

Toutes les vulnérabilités sont liées à Mozilla Firefox.

NB: Ces vulnérabilités n'ont aucune cote CVSS publique, donc la note peut être changée par le temps.

NB: À ce moment, Mozilla vient de réserver des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt.

Produits concernés

Versions de Mozilla Firefox antérieures à 54
Les versions de Mozilla Firefox ESR antérieures à 52.2

Solution

Mettre à jour à la dernière version
Télécharger Mozilla Firefox ESR
Télécharger Mozilla Firefox

Fiches de renseignement originales

MFSA 2017-16
MFSA 2017-15

Impacts
?
WLF 
[?]

RLF 
[?]

SUI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Produits liés
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2017-5471
CVE-2017-7770
CVE-2017-7768
CVE-2017-7767
CVE-2017-7766
CVE-2017-7762
CVE-2017-7761
CVE-2017-7760
CVE-2017-7759
CVE-2017-5470
CVE-2017-7765
CVE-2017-7764
CVE-2017-7763
CVE-2017-7758
CVE-2017-7777
CVE-2017-7776
CVE-2017-7775
CVE-2017-7774
CVE-2017-7773
CVE-2017-7772
CVE-2017-7771
CVE-2017-7778
CVE-2017-7757
CVE-2017-7756
CVE-2017-7754
CVE-2017-7752
CVE-2017-7755
CVE-2017-7751
CVE-2017-7750
CVE-2017-7749
CVE-2017-5472


Lien vers l'original