Vulnérabilités dans Firefox, Firefox ESR et Thunderbird

CVE-2021-23968[Score CVSS v3 : 4.3] : Dans le cas où la politique de sécurité du contenu bloquait la navigation dans le cadre, la destination complète d'une redirection servie dans le cadre était signalée dans le rapport de violation, par opposition à l'URI du cadre original. Cela pourrait être utilisé pour divulguer des informations sensibles contenues dans ces URI.

CVE-2021-23969[Score CVSS v3 : 4.3] : Comme spécifié dans le projet de politique de sécurité du contenu du W3C, lors de la création d'un rapport de violation, "les agents utilisateurs doivent s'assurer que le fichier source est l'URL demandée par la page, les pré-redirections. Si cela n'est pas possible, les agents utilisateurs doivent réduire l'URL à une origine pour éviter toute fuite involontaire". Dans certains types de redirections, Firefox, Firefox ESR et Thunderbird ont mal défini le fichier source comme étant la destination des redirections. Il a été corrigé pour qu'il soit l'origine de la destination des redirections.



CVE-2021-23978[Score CVSS v3 : 8.8] : Plusieurs vulnérabilités concernant la gestion de la mémoire dans Firefox, Firefox ESR et Thunderbird ont été corrigées. Certains de ces bogues montraient des signes de corruption de la mémoire et nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter un code arbitraire.