Vulnérabilités dans plusieurs produits de Mozilla

Date de publication :

Ces deux vulnérabilités concernent plusieurs produits Mozilla (Firefox, ESR, Focus et Thunderbird).

Mozilla Firefox : il s’agit d’un navigateur web gratuit et libre.

Mozilla Extended Support Release (ESR) : c’est une offre longue durée destinée aux grandes organisations qui utilisent le navigateur Firefox. Cette offre apporte un support pour le maintien du navigateur dans le contexte d’un déploiement à grande échelle.

Mozilla Focus : c’est un navigateur dédié à la protection de la vie privée.

Mozilla Thunderbird : il s’agit d’une application libre de messagerie.

 

CVE-2022-26485[Score CVSS v3.1: 8.8]

Une configuration incorrecte de l'accès mémoire lors du traitement des données XSLT peut permettre une attaque par XSS. Un attaquant incitant un utilisateur à visiter un site web peut provoquer un déni de service ou exécuter du code arbitraire sur son système.

 

CVE-2022-26486[Score CVSS v3.1: 8.8]

Une configuration incorrecte de l'accès mémoire dans la communication interprocessus WebGPU peut permettre une attaque XSS. Un attaquant incitant un utilisateur à visiter un site web peut provoquer un déni de service ou exécuter du code arbitraire sur son système.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

    Oui, pour les 2 CVE présentées

Un correctif existe

    Oui, pour les 2 CVE présentées

Une mesure de contournement existe

    Non, pour les 2 CVE présentées

 

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-26485

Pour la CVE-2022-26486

Détails sur l’exploitation

Pour la CVE-2022-26485CVE-2022-26486

    Vecteur d’attaque : Réseau

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables

Pour la CVE-2022-26485CVE-2022-26486

    Pour Firefox, il s'agit des versions antérieures à 97.0.2
    Pour Firefox ESR, il s'agit des versions antérieures à 91.6.1
    Pour Firefox pour Android, il s'agit des versions antérieures à 97.3
    Pour Focus, il s'agit des versions antérieures à 97.3
    Pour Thunderbird, il s'agit des versions antérieures à 91.6.2

Solutions ou recommandations

Pour la CVE-2022-26485CVE-2022-26486

  • Des informations supplémentaires dans le bulletin officiel de Mozilla sont disponibles ici.
  • Pour Firefox, appliquer la mise à jour vers la version 97.0.2.
  • Pour Firefox ESR, appliquer la mise à jour vers la version 91.6.1.
  • Pour Firefox Android, appliquer la mise à jour vers la version 97.3.0.
  • Pour Focus, appliquer la mise à jour vers la version 97.3.0.

Liens