Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour obtenir des informations sensibles, provoquer un déni de service, obtenir des privilèges, exécuter du code arbitraire, effectuer des attaques XSS et contourner les restrictions de sécurité.
Voici une liste complète des vulnérabilités:
- Une vulnérabilité sans utilisation avec des animations SVG et des chemins de clip peut être exploitée à distance pour exécuter du code arbitraire ou provoquer un déni de service;
- Une vulnérabilité «use-after-free» avec des animations SVG et des chemins de texte peut être exploitée à distance pour exécuter du code arbitraire ou provoquer un déni de service;
- Une vulnérabilité de contournement de type origine identique dans PDF Viewer peut être exploitée à distance pour exécuter du code arbitraire;
- Une vulnérabilité d'injection de code dans PDF Viewer peut être exploitée à distance pour exécuter du code arbitraire;
- Un débordement d'entier et une écriture hors-limites dans Skia peuvent être exploités à distance pour provoquer un déni de service;
- Une utilisation de la mémoire non initialisée dans l'encodeur WebRTC peut être exploitée à distance pour provoquer un déni de service;
- Une vulnérabilité de fuite d'informations dans WebExtentions peut être exploitée à distance pour obtenir des informations sensibles;
- Une vulnérabilité de lecture hors limites dans les messages websocket à contenu mixte peut être exploitée à distance pour provoquer un déni de service;
- Une vulnérabilité non spécifiée dans JavaScript Bytecode Cache peut être exploitée à distance pour obtenir des privilèges;
- Une vulnérabilité non spécifiée dans CSP peut être exploitée à distance pour effectuer des attaques de script intersite;
- Une vulnérabilité de contournement des autorisations dans WebExtensions peut être exploitée à distance pour contourner les restrictions de sécurité.
- Une vulnérabilité non spécifiée dans le débogueur JavaScript peut être exploitée à distance pour effectuer des attaques non spécifiées;
- Une vulnérabilité non spécifiée peut être exploitée à distance pour contourner les restrictions de sécurité;
- Une vulnérabilité non spécifiée peut être exploitée à distance pour exécuter du code arbitraire;
- Une vulnérabilité non spécifiée peut être exploitée à distance pour obtenir des informations sensibles;
- Une vulnérabilité non spécifiée peut être exploitée à distance pour exécuter du code arbitraire;
- Une vulnérabilité non spécifiée dans CSP peut être exploitée à distance pour contourner les restrictions de sécurité;
- Une vulnérabilité d'injection de script dans JSON Viewer peut être exploitée à distance pour obtenir des informations sensibles.
- Une vulnérabilité de débordement de tampon dans XSLT peut être exploitée à distance pour provoquer un déni de service;
- Une vulnérabilité de débordement de tampon peut être exploitée à distance via UTF8 en conversion de chaîne Unicode dans JavaScript avec de très grandes quantités de données pour provoquer un déni de service;
- Une vulnérabilité liée au mode protégé Flash peut être exploitée à distance pour effectuer des attaques non spécifiées;
- Une vulnérabilité «use-after-free» dans WebGL peut être exploitée à distance pour provoquer un déni de service;
Détails techniques
Vulnérabilités (6) – (15) et (17) – (19), (21), (22) n'affecte que Mozilla Firefox;
Vulnérabilité (20) n'affecte que Mozilla Firefox ESR;
Vulnérabilité (16) affecte uniquement les utilisateurs de Windows 10 exécutant la mise à jour d'avril 2018 ou ultérieure. Cela n'affecte pas les autres utilisateurs Windows ni les autres systèmes d'exploitation.
NB: À ce moment, Mozilla vient de réserver des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt.
Fiches de renseignement originales
Liste CVE
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com