Mozilla - CVE-2026-6748

Il s'agit d'une vulnérabilité dans le composant Audio/Video : Web Codecs de Firefox, Firefox ESR, Thunderbird et Thunderbird ESR.

Firefox est un navigateur web open-source et Thunderbird un client de messagerie et de calendrier. Tous deux sont développés par Mozilla et disponibles sur Windows, macOS et Linux. Firefox ESR (Extended Support Release) est la branche à support étendu destinée aux entreprises et aux administrations.

Le moteur de traitement des codecs audio et vidéo utilise une zone mémoire non initialisée lors du traitement de flux multimédia. Un attaquant distant peut provoquer la lecture de données arbitraires depuis la mémoire du processus, ce qui peut conduire à une corruption mémoire. L'absence d'initialisation (CWE-457) constitue un point d'entrée classique pour des primitives d'exploitation permettant d'obtenir une lecture ou une écriture hors limites dans l'espace mémoire du navigateur.

Elle permet une exécution de code arbitraire à distance ou une atteinte à la confidentialité des données dans le contexte du processus navigateur.