Vulnérabilité d’exécution de code à distance affectant Mozilla Firefox et Thunderbird

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/069

Date de l’alerte : 26/10/2024

APERÇU :

Mozilla Firefox et Thunderbird sont affectés par une vulnérabilité qui permettrait à un acteur malveillant d’exécuter du code à distance sur les systèmes affectés. 

DESCRIPTION :

Mozilla Firefox et Thunderbird sont des logiciels développés par Mozilla, servant respectivement de navigateur web et de client de messagerie. 

Ces produits sont affectés par une vulnérabilité libellée CVE-2024-9680, qui réside dans le composant Animation Timelines, de l’API Web Animations de Firefox et Thunderbird. Lorsqu’une zone de mémoire dédiée à ces animations est libérée, le programme continue d’y accéder, ce qui crée une condition d’use-after-free. Cette vulnérabilité permettrait à un acteur malveillant non authentifié, d’accéder à cette mémoire, puis d’y injecter du code spécialement conçu. Ce code pourrait ensuite être exécuté lorsque le programme tente d’accéder à cette mémoire. 

Cette vulnérabilité est classée comme critique avec un score de sévérité de 9,8 selon CVSS:3.1. 

IMPACT :

  • Atteinte à la confidentialité des données ; 
  • Compromission de l’intégrité du système ;
  • Exécution de code à distance.

SYSTÈMES AFFECTÉS : 

  • Firefox ESR versions antérieures à 115.16.1 ;
  • Firefox ESR versions antérieures à 128.3.1 ;
  • Firefox versions antérieures à 131.0.2 ;
  • Thunderbird versions antérieures à 115.16.0 ;
  • Thunderbird versions antérieures à 128.3.1 ;
  • Thunderbird versions antérieures à 131.0.1.

MESURES À PRENDRE : 

  • Mettre à jour Firefox vers la version 131.0.2 ou ultérieure ; 
  • Mettre à jour Firefox ESR vers les versions 115.16.1, 128.3.1 ou ultérieures ; 
  • Mettre à jour Thunderbird vers les versions 115.16.0, 128.3.1, 115.16.1 ou ultérieures. 

RÉFÉRENCES :

Partagez sur vos réseaux.