..
Click anywhere to stop
Click anywhere to stop
CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection
?
|
08/08/2017 |
Sévérité
?
|
Critique |
Description
|
Plusieurs vulnérabilités sérieuses ont été trouvées dans Firefox et Firefox ESR. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, l'escalade des privilèges, l'usurpation de l'interface utilisateur, contourner les restrictions de sécurité, obtenir des informations sensibles et exécuter du code arbitraire. Voici une liste complète des vulnérabilités:
Détails techniques Une vulnérabilité (1) se produit en raison d'une mauvaise désinfection du code source de la page Web. En cas de vulnérabilité (12), un déni de service se produit lors de la tentative d'affichage d'un certificat dans le gestionnaire de certificats si le certificat a un identificateur d'objet (OID) extrêmement long. Vulnerability (13) permet aux utilisateurs malveillants d'écrire des données arbitraires à l'emplacement spécial dans la mémoire contrôlée par eux. La vulnérabilité (13), (15), (25), (26) n'affecte que les systèmes d'exploitation Windows. La vulnérabilité (15) existe en raison d'une erreur qui survient en raison d'une violation de la protection DEP – Le bloc RWX (lecture / écriture / exécution) est alloué mais jamais protégé. Vulnérabilité (19) existe car un algorithme utilise des coordonnées jacobiennes-affines mixtes qui peuvent retourner un résultat POINT_AT_INFINITY, ce qui conduit une partie attaquée à calculer un secret partagé incorrect. Vulnérabilité (20) affecte uniquement les systèmes d'exploitation basés sur Linux. Vulnérabilité (20) existe car le courtier sandbox autorisera les fichiers à être tronqués même si le sandbox n'a explicitement qu'un accès en lecture au système de fichiers local et aucune autorisation d'écriture. En cas de vulnérabilité (21), les données sur la page about: webrtc sont fournies par l'utilisation de WebRTC et ne sont pas sous le contrôle d'un tiers. En cas de vulnérabilité (24), si un serveur envoie deux en-têtes Strict-Transport-Security (STS) pour une seule connexion, ils seront rejetés comme non valides et HSTS (HTTP Strict Transport Security) ne sera pas activé pour la connexion. Les vulnérabilités sont liées à Mozilla Firefox ESR. Toutes les vulnérabilités sont liées à Mozilla Firefox. NB: Ces vulnérabilités n'ont aucune cote CVSS publique, donc la note peut être changée par le temps. NB: À ce moment, Mozilla vient de réserver des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt. |
Produits concernés
|
Versions de Mozilla Firefox antérieures à 55 |
Solution
|
Mettre à jour à la dernière version |
Fiches de renseignement originales
|
|
Impacts
?
|
SUI
[?] ACE [?] OSI [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2017-7780 |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des vulnérabilités dans votre région |