CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA11206
Vulnérabilités multiples dans Mozilla Firefox et Firefox ESR
Mis à jour: 07/05/2018
Date de la détection
?
03/13/2018
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox et Mozilla Firefox ESR. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, usurper l'interface utilisateur, obtenir des informations sensibles, exécuter du code arbitraire, effectuer des attaques de script intersite et contourner les restrictions de sécurité.

Voici une liste complète des vulnérabilités:

  1. La vulnérabilité de débordement de la mémoire tampon peut être exploitée à distance en manipulant le SVG animatedPathSegList via un script pour provoquer un déni de service;
  2. Une vulnérabilité use-after-free peut être exploitée à distance pour provoquer un déni de service;
  3. Une vulnérabilité non spécifiée dans les paramètres de messegas IPC peut être exploitée à distance pour provoquer un déni de service;
  4. Une vulnérabilité non spécifiée dans les connexions WebRTC peut être exploitée à distance pour provoquer un déni de service;
  5. Une vulnérabilité non spécifiée dans l'API fetch () peut être exploitée à distance pour contourner les restrictions de sécurité;
  6. Une vulnérabilité non spécifiée dans l'API Find pour WebExtensions peut être exploitée à distance pour obtenir des informations sensibles.
  7. Une vulnérabilité non spécifiée liée à la modification de la préférence app.support.baseURL peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
  8. Une vulnérabilité non spécifiée dans WebExtensions peut être exploitée à distance pour contourner les restrictions de sécurité;
  9. Une vulnérabilité non spécifiée dans WebExtensions peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
  10. Une vulnérabilité non spécifiée liée à la création d'un worker partagé à partir de data: URL peut être exploitée à distance pour contourner les restrictions de sécurité;
  11. Une vulnérabilité d'usurpation liée à l'ouverture d'un site malveillant dans l'onglet personnalisé Android avec un nom de domaine extrêmement long peut être exploitée à distance pour usurper l'interface utilisateur;
  12. Une vulnérabilité non spécifiée liée à moz-icon: protocole peut être exploitée à distance pour obtenir des informations sensibles;
  13. Une vulnérabilité non spécifiée dans l'API Push des notifications peut être exploitée à distance pour provoquer un déni de service;
  14. Une vulnérabilité non spécifiée liée aux autorisations API Media Capture et Streams peut être exploitée à distance pour usurper l'interface utilisateur;
  15. Une vulnérabilité non spécifiée liée aux URL utilisant javascript: peut être exploitée à distance pour effectuer une attaque XSS (cross site scripting);
  16. Les failles de corruption de mémoire multiples peuvent être exploitées à distance pour exécuter du code arbitraire;
  17. Une vulnérabilité de dépassement d'entier liée à la conversion de texte en caractères Unicode peut être exploitée à distance pour provoquer un déni de service.

Détails techniques

Les vulnérabilités (2), (6) – (15) concernent uniquement Mozilla Firefox.

Vulnérabilité (17) concerne uniquement Mozilla Firefox ESR.

NB: Cette vulnérabilité n'a aucune cote CVSS publique, donc la notation peut être changée par le temps.

Produits concernés

Les versions de Mozilla Firefox plus tôt que 59
Les versions de Mozilla Firefox ESR plus tôt que 52,7

Solution

Mettre à jour à la dernière version
Télécharger Mozilla Firefox ESR
Télécharger Mozilla Firefox

Fiches de renseignement originales

Mozilla Foundation Security Advisory 2018-06
Mozilla Foundation Security Advisory 2018-07

Impacts
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

DoS 
[?]
Produits liés
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-2145
CVE-2018-2144
CVE-2018-2125
CVE-2018-2126
CVE-2018-2143
CVE-2018-2142
CVE-2018-2141
CVE-2018-2140
CVE-2018-2138
CVE-2018-2137
CVE-2018-2136
CVE-2018-2135
CVE-2018-2134
CVE-2018-2133
CVE-2018-2132
CVE-2018-2131
CVE-2018-2130
CVE-2018-2129
CVE-2018-2128
CVE-2018-2127


Lien vers l'original