Multiples vulnérabilités dans Mozilla Firefox et Firefox ESR

Mozilla Firefox est un navigateur web libre et gratuit disponible pour les ordinateurs (Windows, MacOs, Linux, BSD, etc.) et les appareils mobiles (Android, iOS). Il est développé et distribué par la Mozilla Foundation depuis 2013. La version « ESR » (« Extended Support Release ») de Firefox offre un support à long terme et une stabilité accrue dans le temps, avec uniquement des mises à jour de sécurité et des correctifs de stabilité, sans les mises à jour de fonctionnalités.

Plusieurs vulnérabilités ont été identifiées dans ces produits Mozilla. Il s’agit de : 

  • CVE-2023-34414 : Cette vulnérabilité concerne l’absence de délai d’activation sur la page d’erreur des certificats TLS invalides, permettant à une page malveillante de manipuler les clics de l’utilisateur et de substituer l’erreur de certificat par un bouton activé. Elle est de sévérité  Elevé et son score est de 7.5. 
  • CVE-2023-34415 : Cette vulnérabilité de redirection permettrait à un attaquant d’utiliser une entrée contrôlée par l’utilisateur pour rediriger vers un site externe, facilitant ainsi les attaques de phishing et impactant l’intégrité du système. La vulnérabilité est classée comme ayant une sévérité  modéré avec un score  de 4.1. 
  • CVE-2023-34416, CVE-2023-34417 : Ce sont des failles de sécurité de corruption de la mémoire, ce qui provoquerait une exécution arbitraire de code. Ces deux vulnérabilités sont considérées comme présentant un niveau de gravité Elevé avec un score de 8.8.

L’exploitation de ces vulnérabilités permettraient à un attaquant distant de déclencher l’exécution de code à distance et de contourner les restrictions de sécurité sur le système ciblé.

RISQUES DE SÉCURITÉ 

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Atteinte à l’intégrité, disponibilité et confidentialité des données 

SYSTEMES AFFECTÉS 

  • Firefox versions antérieures à 114 
  • Firefox ESR versions antérieures à 102.12

MESURES À PRENDRE

  • Il est recommandé d’effectuer les mises à jour vers les versions plus récentes


Source : bjCSIRT