Multiples vulnérabilités dans Mozilla
Date de publication :
CVE-2022-38473[Score CVSS v3.1:8.8]
Des restrictions insuffisantes dans les références des balises iframe vers un document XSLT permet à un attaquant distant, en persuadant sa victime à visiter une page web spécifiquement forgée, de contourner la politique de sécurité afin d’obtenir des droits sur le système.
CVE-2022-38476[Score CVSS v3.1:8.8]
Une erreur de libération de mémoire dans la fonction PK11_ChangePW, une fonction de changement cryptographique de mot de passe, permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.
CVE-2022-38477[Score CVSS v3.1:8.8]
Un défaut de mémoire dans le moteur de recherche permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.
CVE-2022-38478[Score CVSS v3.1:8.8]
Un défaut de mémoire dans le moteur de recherche permet à un attaquant, en persuadant sa victime à visiter une page web spécifiquement forgée, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Contournement de la politique de Sécurité
Déni de service
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-38473
CWE-264: Permissions, Privileges, and Access Controls
Pour la CVE-2022-38476
Pour les CVE-2022-38477 et CVE-2022-38478
En cours de Recherche
Détails sur l’exploitation
Pour l’ensemble des CVE présentées
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour les CVE-2022-38473 et CVE-2022-38478
Mozilla Firefox 103
Mozilla Firefox ESR 102.1
Mozilla Firefox ESR 91.12
Mozilla Thunderbird 102.1
Mozilla Thunderbird 91.12
Pour la CVE-2022-38476
Mozilla Firefox ESR 102.1
Mozilla Thunderbird 102.1
Pour la CVE-2022-38477
Mozilla Firefox 103
Mozilla Firefox ESR 102.1
Mozilla Thunderbird 102.1
Solutions ou recommandations
Mettre à jour Mozilla Firefox vers la version 104 ou une version supérieure (plus d’informations ici).
Mettre à jour Mozilla Firefox 91 et 102 vers les versions 91.13 et 102.2 ou une version supérieure (plus d’informations ici ou ici).
Mettre à jour Mozilla Thunderbird 91 et 102 vers les versions 91.13 et 102.2 ou une version supérieure (plus d’informations ici ou ici).