Vulnérabilités dans Firefox et Thunderbird
Date de publication :
Deux vulnérabilités critiques ont été corrigées dans les nouvelles versions de Firefox, Thunderbird et Firefox ESR.
CVE-2020-26951[Score CVSS v3 : 6.1] : Une vulnérabilité a été découverte dans les mécanismes de traitement et de chargement des données dans le code SVG de Firefox, ThunderBird et Firefox ESR. Cette faille peut permettre à un attaquant distant et non-authentifié d’effectuer une attaque de type injection XSS et ce, malgré les protections contre les requêtes malveillantes mises en place par Firefox.
CVE-2020-26952[Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans Firefox (uniquement). Elle peut permettre à un attaquant distant et non-authentifié de provoquer une corruption de mémoire allouée au navigateur. L’exploitation de cette vulnérabilité peut conduire à un déni de service et/ou à une extraction de données arbitraires. Elle est due à la mauvaise gestion de Firefox des fonctions lors de la compilation à la volée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Extraction de données sensibles
- Exécution de code arbitraire
- Violation des politiques de sécurité
- Déni de service
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est connu publiquement à ce jour.
Composants vulnérables
- Firefox (< v83.0)
- Thunderbird (< v78.5)
- Firefox ESR (< v78.5)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mise à jour vers :
Firefox version 83.0
Thunderbird version 78.5
Firefox ESR version 78.5
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à ce jour.