Multiples vulnérabilités dans les produits Mozilla
Date de publication :
Un dépassement d’entier est une erreur produite lorsque le résultat d’une opération mathématique est supérieur au plus grand nombre entier représentable dans le système qui l’héberge.
CVE-2022-34485[Score CVSS v3.1: 8.8]
Une faille de corruption de mémoire dans le moteur du navigateur Firefox permet à un attaquant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service de l’exécutable.
CVE-2022-34484[Score CVSS v3.1: 8.8]
Une faille de corruption de mémoire dans Mozilla Firefox et Mozilla Thunderbird permet à un attaquant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service du ou des exécutables.
CVE-2022-2200[Score CVSS v3.1: 8.8]
La définition d'un attribut indésirable dans le moteur JavaScript de Mozilla Firefox permet à un attaquant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire avec des privilèges élevés.
CVE-2022-34481[Score CVSS v3.1: 8.8]
Un débordement d'entiers dans la fonction nsTArray_Impl::ReplaceElementsAt() de Mozilla Firefox et Mozilla Thunderbird permet à un attaquant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-34482[Score CVSS v3.1: 8.8]
Une faille de sécurité de mémoire dans Mozilla Firefox permet à un attaquant, en persuadant une victime de glisser-déposer une image forgée dans un répertoire local, puis en manipulant le nom du fichier créé, de faire exécuter du code arbitraire sur le système.
CVE-2022-34483[Score CVSS v3.1: 8.8]
Une faille de sécurité de mémoire dans Mozilla Firefox permet à un attaquant, en persuadant une victime de glisser-déposer une image forgée dans un répertoire local, puis en manipulant le nom du fichier créé, de faire exécuter du code arbitraire sur le système.
CVE-2022-34468[Score CVSS v3.1: 8.8]
Une erreur d’autorisation dans un élément iframe de Mozilla Firefox permet à un attaquant, en cliquant sur un lien javascript, d’exécuter du code arbitraire.
CVE-2022-34479[Score CVSS v3.1: 8.8]
Un défaut de limitation dans le dimensionnement des fenêtres contextuelles de Mozilla Firefox pour Linux permet à un attaquant, en persuadant une victime de cliquer sur une fenêtre contextuelle spécialement forgée pour cacher la barre d’adresse originale, de contourner la politique de sécurité du navigateur.
CVE-2022-34470[Score CVSS v3.1: 8.8]
Une erreur de libération de mémoire après utilisation lors de la navigation entre différents documents XML dans Mozilla Firefox permet à un attaquant de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilège
Exécution de code arbitraire
Déni de service
Contournement de la politique de sécurité
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non, pour l’ensemble de CVE présentées.
Un correctif existe
Oui, pour l’ensemble de CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble de CVE présentées.
La vulnérabilité exploitée est du type
En cours de recherche, pour l’ensemble des CVE présentées.
Détails sur l’exploitation
Pour les CVE-2022-34485, CVE-2022-34484, CVE-2022-34481, CVE-2022-34482, CVE-2022-34483, CVE-2022-34468, CVE-2022-34479, CVE-2022-34470
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-2200
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour les CVE-2022-34485, CVE-2022-34482 et CVE-2022-34483
Mozilla Firefox 101 est affecté par ces vulnérabilités.
Pour les CVE-2022-34484, CVE-2022-2200, CVE-2022-34481, CVE-2022-34479(uniquement pour Linux), CVE-2022-34468, CVE-2022-34470
Mozilla Firefox 101, Mozilla Firefox ESR 91.10, Mozilla Thunderbird 101 et Mozilla Thunderbird 91.10 sont affectés par ces vulnérabilités.
Solutions ou recommandations
- Mettre à jour Mozilla Thunderbird 101 et Mozilla Thunderbird 91.10 vers Thunderbird 91.11 et Thunderbird 102 avec le correctif mfsa2022-26.
- Mettre à jour Mozilla Firefox ESR 91.10 vers Mozilla Firefox ESR 91.11 avec le correctif mfsa2022-25.
- Mettre à jour Mozilla Firefox 101 vers Mozilla Firefox 102 avec le correctif mfsa2022-24.