Vulnérabilités dans les produits Mozilla (Firefox, Thunderbird)
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans le navigateur web Mozilla Firefox et le client de courriels Mozilla Thunderbird. Parmi celles-ci, des vulnérabilités classées comme ayant un impact “high” peuvent permettre à un attaquant de corrompre la mémoire du programme, ainsi que conduire à une exécution de code arbitraire.
CVE-2020-6796 [Score CVSS v3 : 8.8] : il est possible pour un processus d’affichage de contenu de modifier des valeurs de la mémoire partagée utilisée par Firefox pour reporter des informations de plantage. Ce scénario conduit à un plantage du processus en question et à une écriture hors-limites en mémoire, résultant en une corruption de cette dernière et à une potentielle exécution de code arbitraire.
CVE-2020-6800, CVE-2020-6801 [Score CVSS v3 : 8.8] : plusieurs problèmes de sécurité mémoire ont été corrigés dans Mozilla Firefox et Mozilla Thunderbird. Certaines fonctionnalités de protection de la mémoire, comme les protections contre les dépassements de tampon et les dangling pointers n’étaient pas correctement assurées. Cette situation aurait pu conduire à des attaques résultant en une exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Corruption de la mémoire du processus
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 8.8
Existence d’un code d’exploitation
-
Pas de code d’exploitation disponible à ce jour
Composants vulnérables
-
Mozilla Firefox jusqu’à la version 73
Mozilla Firefox ESR jusqu’à la version 68.5
Mozilla Thunderbird jusqu’à la version 68.5
CVE
-
CVE-2020-6796
CVE-2020-6800
CVE-2020-6801
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Mozilla Firefox vers la version 73
- Mettre à jour Mozilla Firefox ESR vers la version 68.5
- Mettre à jour Mozilla Thunderbird vers la version 68.5
Solution de contournement
- Pas de solution de contournement disponible