CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA11246
Vulnérabilités multiples dans Mozilla Firefox et Firefox ESR
Mis à jour: 07/05/2018
Date de la détection
?
05/09/2018
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Firefox. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour obtenir des informations sensibles, provoquer un déni de service, obtenir des privilèges, exécuter du code arbitraire, effectuer des attaques XSS et contourner les restrictions de sécurité.

Voici une liste complète des vulnérabilités:

  1. Une vulnérabilité sans utilisation avec des animations SVG et des chemins de clip peut être exploitée à distance pour exécuter du code arbitraire ou provoquer un déni de service;
  2. Une vulnérabilité «use-after-free» avec des animations SVG et des chemins de texte peut être exploitée à distance pour exécuter du code arbitraire ou provoquer un déni de service;
  3. Une vulnérabilité de contournement de type origine identique dans PDF Viewer peut être exploitée à distance pour exécuter du code arbitraire;
  4. Une vulnérabilité d'injection de code dans PDF Viewer peut être exploitée à distance pour exécuter du code arbitraire;
  5. Un débordement d'entier et une écriture hors-limites dans Skia peuvent être exploités à distance pour provoquer un déni de service;
  6. Une utilisation de la mémoire non initialisée dans l'encodeur WebRTC peut être exploitée à distance pour provoquer un déni de service;
  7. Une vulnérabilité de fuite d'informations dans WebExtentions peut être exploitée à distance pour obtenir des informations sensibles;
  8. Une vulnérabilité de lecture hors limites dans les messages websocket à contenu mixte peut être exploitée à distance pour provoquer un déni de service;
  9. Une vulnérabilité non spécifiée dans JavaScript Bytecode Cache peut être exploitée à distance pour obtenir des privilèges;
  10. Une vulnérabilité non spécifiée dans CSP peut être exploitée à distance pour effectuer des attaques de script intersite;
  11. Une vulnérabilité de contournement des autorisations dans WebExtensions peut être exploitée à distance pour contourner les restrictions de sécurité.
  12. Une vulnérabilité non spécifiée dans le débogueur JavaScript peut être exploitée à distance pour effectuer des attaques non spécifiées;
  13. Une vulnérabilité non spécifiée peut être exploitée à distance pour contourner les restrictions de sécurité;
  14. Une vulnérabilité non spécifiée peut être exploitée à distance pour exécuter du code arbitraire;
  15. Une vulnérabilité non spécifiée peut être exploitée à distance pour obtenir des informations sensibles;
  16. Une vulnérabilité non spécifiée peut être exploitée à distance pour exécuter du code arbitraire;
  17. Une vulnérabilité non spécifiée dans CSP peut être exploitée à distance pour contourner les restrictions de sécurité;
  18. Une vulnérabilité d'injection de script dans JSON Viewer peut être exploitée à distance pour obtenir des informations sensibles.
  19. Une vulnérabilité de débordement de tampon dans XSLT peut être exploitée à distance pour provoquer un déni de service;
  20. Une vulnérabilité de débordement de tampon peut être exploitée à distance via UTF8 en conversion de chaîne Unicode dans JavaScript avec de très grandes quantités de données pour provoquer un déni de service;
  21. Une vulnérabilité liée au mode protégé Flash peut être exploitée à distance pour effectuer des attaques non spécifiées;
  22. Une vulnérabilité «use-after-free» dans WebGL peut être exploitée à distance pour provoquer un déni de service;

Détails techniques

Vulnérabilités (6) – (15) et (17) – (19), (21), (22) n'affecte que Mozilla Firefox;

Vulnérabilité (20) n'affecte que Mozilla Firefox ESR;

Vulnérabilité (16) affecte uniquement les utilisateurs de Windows 10 exécutant la mise à jour d'avril 2018 ou ultérieure. Cela n'affecte pas les autres utilisateurs Windows ni les autres systèmes d'exploitation.

NB: À ce moment, Mozilla vient de réserver des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt.

Produits concernés

Mozilla Firefox plus tôt que 60
Mozilla Firefox ESR plus tôt que 52.8

Solution

Mettre à jour à la dernière version
Télécharger Mozilla Firefox ESR
Télécharger Mozilla Firefox

Fiches de renseignement originales

Mozilla Foundation Security Advisory 2018-11
Mozilla Foundation Security Advisory 2018-12

Impacts
?
ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Produits liés
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5150
CVE-2018-5151
CVE-2018-5182
CVE-2018-5181
CVE-2018-5180
CVE-2018-5165
CVE-2018-5177
CVE-2018-5176
CVE-2018-5175
CVE-2018-5174
CVE-2018-5173
CVE-2018-5172
CVE-2018-5169
CVE-2018-5168
CVE-2018-5167
CVE-2018-5166
CVE-2018-5164
CVE-2018-5163
CVE-2018-5153
CVE-2018-5152
CVE-2018-5160
CVE-2018-5159
CVE-2018-5158
CVE-2018-5157
CVE-2018-5155
CVE-2018-5154


Lien vers l'original