Multiples vulnérabilités dans Mozilla Firefox

Date de publication :

CVE-2022-42928[Score CVSS v3.1: 8.8]

Un défaut d’allocation mémoire dans le moteur Javascript de Garbage Collector permet à un attaquant, en persuadant une victime de visiter un site spécifiquement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service sur le système de la victime.

CVE-2022-42932[Score CVSS v3.1:8.8]

Une erreur de mémoire lors de la gestion de requêtes HTML permet à un attaquant distant, en persuadant une victime de visiter un site spécifiquement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service sur le système de la victime.

CVE-2022-42927[Score CVSS v3.1:8.1]

Un attaquant peut contourner la politique de sécurité CORS (cross-origin) à partir de la fonction getEntries() de l'API performance javascript, en persuadant une victime de visiter un site spécifiquement forgé.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

    Vol d’informations

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CWE-254: 7PK - Security Features

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Non.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE présentées

    Mozilla Firefox versions comprises entre 100.0 et 105.0.3

    Mozilla Firefox ESR versions comprises entre 102.0 et 102.3.0

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Mozilla Firefox vers la version 106 ou vers une version supérieure.
  • Mettre à jour Mozilla Firefox ESR vers la version 102.4 ou vers une version supérieure.
  • Plus d’informations disponibles ici et ici.

Liens