Vulnérabilités multiples dans Mozilla Firefox et Firefox ESR

Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox et Mozilla Firefox ESR. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, usurper l'interface utilisateur, obtenir des informations sensibles, exécuter du code arbitraire, effectuer des attaques de script intersite et contourner les restrictions de sécurité.

Voici une liste complète des vulnérabilités:

1. La vulnérabilité de débordement de la mémoire tampon peut être exploitée à distance en manipulant le SVG animatedPathSegList via un script pour provoquer un déni de service;
2. Une vulnérabilité use-after-free peut être exploitée à distance pour provoquer un déni de service;
3. Une vulnérabilité non spécifiée dans les paramètres de messegas IPC peut être exploitée à distance pour provoquer un déni de service;
4. Une vulnérabilité non spécifiée dans les connexions WebRTC peut être exploitée à distance pour provoquer un déni de service;
5. Une vulnérabilité non spécifiée dans l'API fetch () peut être exploitée à distance pour contourner les restrictions de sécurité;
6. Une vulnérabilité non spécifiée dans l'API Find pour WebExtensions peut être exploitée à distance pour obtenir des informations sensibles.
7. Une vulnérabilité non spécifiée liée à la modification de la préférence app.support.baseURL peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
8. Une vulnérabilité non spécifiée dans WebExtensions peut être exploitée à distance pour contourner les restrictions de sécurité;
9. Une vulnérabilité non spécifiée dans WebExtensions peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
10. Une vulnérabilité non spécifiée liée à la création d'un worker partagé à partir de data: URL peut être exploitée à distance pour contourner les restrictions de sécurité;
11. Une vulnérabilité d'usurpation liée à l'ouverture d'un site malveillant dans l'onglet personnalisé Android avec un nom de domaine extrêmement long peut être exploitée à distance pour usurper l'interface utilisateur;
12. Une vulnérabilité non spécifiée liée à moz-icon: protocole peut être exploitée à distance pour obtenir des informations sensibles;
13. Une vulnérabilité non spécifiée dans l'API Push des notifications peut être exploitée à distance pour provoquer un déni de service;
14. Une vulnérabilité non spécifiée liée aux autorisations API Media Capture et Streams peut être exploitée à distance pour usurper l'interface utilisateur;
15. Une vulnérabilité non spécifiée liée aux URL utilisant javascript: peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
16. Les failles de corruption de mémoire multiples peuvent être exploitées à distance pour exécuter du code arbitraire;
17. Une vulnérabilité de dépassement d'entier liée à la conversion de texte en caractères Unicode peut être exploitée à distance pour provoquer un déni de service.

---

Détails techniques

Les vulnérabilités (2), (6) – (15) concernent uniquement Mozilla Firefox.

Vulnérabilité (17) concerne uniquement Mozilla Firefox ESR.

NB: Cette vulnérabilité n'a aucune cote CVSS publique, donc la notation peut être changée par le temps.

Fiches de renseignement originales

• Mozilla Foundation Security Advisory 2018-06

• Mozilla Foundation Security Advisory 2018-07

Liste CVE

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com