Origine : bjCSIRT
Numéro : 2023/ALERTE/026
Date de l’alerte : 08/06/2023
APERÇU :
De multiples vulnérabilités ont été découvertes dans Mozilla Firefox et Firefox ESR. Elles permettraient à un attaquant de contourner de la politique de sécurité et d’exécuter des codes arbitraires à distance.
DESCRIPTION :
Mozilla Firefox est un navigateur web libre et gratuit disponible pour les ordinateurs (Windows, MacOs, Linux, BSD, etc.) et les appareils mobiles (Android, iOS). Il est développé et distribué par la Mozilla Foundation depuis 2013. La version « ESR » (« Extended Support Release ») de Firefox offre un support à long terme et une stabilité accrue dans le temps, avec uniquement des mises à jour de sécurité et des correctifs de stabilité, sans les mises à jour de fonctionnalités.
Plusieurs vulnérabilités ont été identifiées dans ces produits Mozilla. Il s’agit de :
- CVE-2023-34414 : Cette vulnérabilité concerne l’absence de délai d’activation sur la page d’erreur des certificats TLS invalides, permettant à une page malveillante de manipuler les clics de l’utilisateur et de substituer l’erreur de certificat par un bouton activé. Elle est de sévérité Elevé et son ccore est de 7.5.
- CVE-2023-34415 : Cette vulnérabilité de redirection permettrait à un attaquant d’utiliser une entrée contrôlée par l’utilisateur pour rediriger vers un site externe, facilitant ainsi les attaques de phishing et impactant l’intégrité du système. La vulnérabilité est classée comme ayant une sévérité modéré avec un score de 4.1.
- CVE-2023-34416, CVE-2023-34417 : Ce sont des failles de sécurité de corruption de la mémoire, ce qui provoquerait une exécution arbitraire de code. Ces deux vulnérabilités sont considérées comme présentant un niveau de gravité Elevé avec un score de 8.8.
L’exploitation de ces vulnérabilités permettraient à un attaquant distant de déclencher l’exécution de code à distance et de contourner les restrictions de sécurité sur le système ciblé.
IMPACT :
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Atteinte à l’intégrité, disponibilité et confidentialité des données
SYSTEMES AFFECTÉS :
- Firefox versions antérieures à 114
- Firefox ESR versions antérieures à 102.12
MESURES À PRENDRE :
Il est recommandé d’effectuer les mises à jour vers les versions plus récentes.
REFERENCES :
- https://www.cve.org/CVERecord?id=CVE-2023-34414
- https://nvd.nist.gov/vuln/detail/CVE-2023-34414
- https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/#CVE-2023-34415
- https://nvd.nist.gov/vuln/detail/CVE-2023-34415
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34415
- https://attackerkb.com/topics/cve-2023-34416
- https://www.cvedetails.com/cve/CVE-2023-30145/
- https://github.com/paragbagul111/CVE-2023-30145
- https://vuldb.com/?id.231086