Vulnérabilités dans Mozilla Firefox, Firefox ESR et Thunderbird

CVE-2021-23994[Score CVSS v3 : 8.8] 

Un tampon mémoire WebGL n'était pas initialisé assez tôt, ce qui peut entraîner une corruption de la mémoire et une écriture hors limites.

CVE-2021-23995[Score CVSS v3 : 8.8] 

Lorsque le mode "Responsive Design" est activé, il utilise des références à des objets qui ont été libérés précédemment. L’exploitation de cette faille de type “use-after-free” peut potentiellement permettre à un attaquant d'exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-23996[Score CVSS v3 6.5] 

En utilisant le CSS 3D avec du code Javascript, le contenu peut être rendu en dehors de la fenêtre d'affichage de la page Web. Un attaquant distant et non-authentifié peut alors potentiellement procéder à une usurpation d'identité dans le cas d’une attaque par hameçonnage.

Les vulnérabilités suivantes concernent uniquement Firefox :

CVE-2021-23997[Score CVSS v3 : 8.8] 

En raison de conversions de types de données inattendues, un "use-after-free" peut se produire lors de l'interaction avec le cache des polices. Son exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire sur les dispositifs vulnérables.



CVE-2021-29947[Score CVSS v3 : 8.8] 

Plusieurs dysfonctionnements liés à la gestion de la mémoire ont été signalés. Certains de ces bogues présentent des signes de corruption de la mémoire. Leur exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire sur les dispositifs vulnérables.