Vulnérabilités dans le navigateur Firefox de Mozilla
Date de publication :
CVE-2022-22763[Score CVSS v3.1: 8.8]
Le contrôle des ressources n’étant pas réalisé de manière optimale par le navigateur, un attaquant pourrait inciter un utilisateur à visiter un site web malveillant afin d’exécuter du code arbitraire sur le système.
CVE-2022-0511CVE-2022-22764[Score CVSS v3.1: 8.8]
Un débordement de mémoire tampon dû à un manque de contrôle des limites lors du traitement des données HTML peut permettre à un attaquant d’inciter un utilisateur à visiter un site web malveillant afin d’exécuter du code arbitraire sur le système ou générer un déni de service.
CVE-2022-22756[Score CVSS v3.1: 8.8]
La fonction de glisser-déposer d’une image peut être manipulée afin de modifier la nature de l’objet déposé. Un attaquant pourrait inciter un utilisateur à cliquer sur une image malveillante afin d’exécuter du code arbitraire sur le système.
CVE-2022-22755[Score CVSS v3.1: 8.8]
La gestion incorrecte d’une transformation XSL peut permettre à un attaquant d’inciter un utilisateur à visiter un site web malveillant afin d’exécuter du code JavaScript lors de la fermeture d’un onglet.
CVE-2022-22753[Score CVSS v3.1: 8.8]
Une condition de compétition dans le service des mises à jour du navigateur peut permettre à un attaquant d’inciter un utilisateur à visiter un site web malveillant afin d’élever ses privilèges au niveau système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentés
Un correctif existe
Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-22763
Pour la CVE-2022-0511
Pour la CVE-2022-22764
Pour la CVE-2022-22756
Pour la CVE-2022-22755
Pour la CVE-2022-22753
Détails sur l’exploitation
Pour la CVE-2022-22763CVE-2022-0511CVE-2022-22764CVE-2022-22756CVE-2022-22755
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-22753
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables.
Pour la CVE-2022-22763
Mozilla Firefox ESR 91.5
Pour la CVE-2022-0511CVE-2022-22755
Mozilla Firefox 96
Pour la CVE-2022-22764CVE-2022-22756CVE-2022-22753
Mozilla Firefox ESR 91.5
Mozilla Firefox 96
Solutions ou recommandations
- Mettre à jour le navigateur Firefox vers la version 97.
- Mettre à jour le navigateur Firefox ESR vers la version 91.6
- Des informations supplémentaires sont disponibles dans le bulletin Mozilla (navigateur Firefox 97) ici.
- Des informations supplémentaires sont disponibles dans le bulletin Mozilla (navigateur Firefox ESR 91.6) ici.