Origine : bjCSIRT
Numéro : 2024/ALERTE/069
Date de l’alerte : 26/10/2024
APERÇU :
Mozilla Firefox et Thunderbird sont affectés par une vulnérabilité qui permettrait à un acteur malveillant d’exécuter du code à distance sur les systèmes affectés.
DESCRIPTION :
Mozilla Firefox et Thunderbird sont des logiciels développés par Mozilla, servant respectivement de navigateur web et de client de messagerie.
Ces produits sont affectés par une vulnérabilité libellée CVE-2024-9680, qui réside dans le composant Animation Timelines, de l’API Web Animations de Firefox et Thunderbird. Lorsqu’une zone de mémoire dédiée à ces animations est libérée, le programme continue d’y accéder, ce qui crée une condition d’use-after-free. Cette vulnérabilité permettrait à un acteur malveillant non authentifié, d’accéder à cette mémoire, puis d’y injecter du code spécialement conçu. Ce code pourrait ensuite être exécuté lorsque le programme tente d’accéder à cette mémoire.
Cette vulnérabilité est classée comme critique avec un score de sévérité de 9,8 selon CVSS:3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Exécution de code à distance.
SYSTÈMES AFFECTÉS :
- Firefox ESR versions antérieures à 115.16.1 ;
- Firefox ESR versions antérieures à 128.3.1 ;
- Firefox versions antérieures à 131.0.2 ;
- Thunderbird versions antérieures à 115.16.0 ;
- Thunderbird versions antérieures à 128.3.1 ;
- Thunderbird versions antérieures à 131.0.1.
MESURES À PRENDRE :
- Mettre à jour Firefox vers la version 131.0.2 ou ultérieure ;
- Mettre à jour Firefox ESR vers les versions 115.16.1, 128.3.1 ou ultérieures ;
- Mettre à jour Thunderbird vers les versions 115.16.0, 128.3.1, 115.16.1 ou ultérieures.
RÉFÉRENCES :