Vulnérabilités dans Firefox et Firefox ESR

Plusieurs vulnérabilités ont été corrigées dans Firefox et Firefox ESR. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, une installation non désirée d’extension ou une exécution de code arbitraire.

CVE-2020-15663 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant permettre une élévation de privilèges a été découverte dans Mozilla Maintenance Service (MMS).  Si Firefox est installé dans un dossier modifiable par l’utilisateur, MMS va alors exécuter updater.exe avec des privilèges élevés. Bien que les versions actuelles soient sécurisées, un attaquant peut induire un retour à une version antérieure pouvant permettre l’exploitation d’un bogue pouvant conduire à une élévation de privilèges. 

Cette vulnérabilité n’affecte que les systèmes Windows.

CVE-2020-15664 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant conduire à une installation d’extension non souhaitée a été découverte dans Firefox. En accédant à l’objet InstallTrigger, une page web malveillante peut conduire un utilisateur à installer une extension. 

CVE-2020-15669 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “use-after-free” a été découverte dans Firefox ESR. Lors de l’annulation d’une opération, le signal d’annulation peut être supprimé ce qui peut conduire en une situation de “use-after-free”. Celle-ci peut être exploitée par un attaquant afin de provoquer une exécution de code arbitraire.

CVE-2020-15670 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “corruption de mémoire” a été corrigée dans Firefox et Firefox ESR. Un attaquant peut exploiter cette vulnérabilité afin de provoquer une exécution de code arbitraire.