Multiples vulnérabilités dans Mozilla Firefox et Firefox ESR

By AfricaCyberMag , 12 juin, 2023

Par AfricaCyberMag , 12 juin 2023

Mozilla Firefox est un navigateur web libre et gratuit disponible pour les ordinateurs (Windows, MacOs, Linux, BSD, etc.) et les appareils mobiles (Android, iOS). Il est développé et distribué par la Mozilla Foundation depuis 2013. La version « ESR » (« Extended Support Release ») de Firefox offre un support à long terme et une stabilité accrue dans le temps, avec uniquement des mises à jour de sécurité et des correctifs de stabilité, sans les mises à jour de fonctionnalités.

Plusieurs vulnérabilités ont été identifiées dans ces produits Mozilla. Il s’agit de :

CVE-2023-34414 : Cette vulnérabilité concerne l’absence de délai d’activation sur la page d’erreur des certificats TLS invalides, permettant à une page malveillante de manipuler les clics de l’utilisateur et de substituer l’erreur de certificat par un bouton activé. Elle est de sévérité Elevé et son score est de 7.5.
CVE-2023-34415 : Cette vulnérabilité de redirection permettrait à un attaquant d’utiliser une entrée contrôlée par l’utilisateur pour rediriger vers un site externe, facilitant ainsi les attaques de phishing et impactant l’intégrité du système. La vulnérabilité est classée comme ayant une sévérité modéré avec un score de 4.1.
CVE-2023-34416, CVE-2023-34417 : Ce sont des failles de sécurité de corruption de la mémoire, ce qui provoquerait une exécution arbitraire de code. Ces deux vulnérabilités sont considérées comme présentant un niveau de gravité Elevé avec un score de 8.8.

L’exploitation de ces vulnérabilités permettraient à un attaquant distant de déclencher l’exécution de code à distance et de contourner les restrictions de sécurité sur le système ciblé.

RISQUES DE SÉCURITÉ