Vulnérabilités dans Mozilla Firefox
Date de publication :
WebAuthN est une API permettant une authentification utilisateur sans mot de passe sur un service en ligne.
CVE-2022-28281[Score CVSS v3.1: 8.8]
Une erreur d’écriture hors limites générée par une réception massive d’extensions WebAuthN dans le navigateur Firefox permet à un attaquant distant, par le biais d’une adresse forgée, d’exécuter du code arbitraire et de provoquer un déni de service.
CVE-2022-28289[Score CVSS v3.1: 8.8]
Une erreur de limite de traitement du contenu HTML dans le navigateur Firefox permet à un attaquant distant, par le biais d’une adresse forgée, d’exécuter du code arbitraire et de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non, pour l’ensemble des vulnérabilités.
Un correctif existe
Oui, pour l’ensemble des vulnérabilités.
Une mesure de contournement existe
Non, pour l’ensemble des vulnérabilités.
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-28281
Pour la CVE-2022-28289
Détails sur l’exploitation
Pour l’ensemble des vulnérabilités
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des vulnérabilités :
Mozilla Firefox dans ses versions 70.0 à 98.0.2.
Firefox ESR dans ses versions 91.0 à 91.7.1 et 78.0 à 78.15.0.
Solutions ou recommandations
Pour l’ensemble des vulnérabilités :
- Mettre à jour Mozilla Firefox et Firefox ESR à jour aux dernières versions disponibles. Des informations complémentaires sont disponibles ici.