Accueil > Nouvelles Cyber > CVE-2020-12405, 7 Autres bugs graves corrigés dans Firefox 77
CYBER NOUVELLES

CVE-2020-12405, 7 Autres bugs graves corrigés dans Firefox 77

Avez-vous mis à jour votre navigateur Firefox? Mozilla vient de publier des mises à jour de sécurité corrigeant huit vulnérabilités, dont cinq classés à haut risque. Être protégé contre les attaques, les utilisateurs doivent exécuter Firefox 77.

Si vous n'avez pas redémarré votre navigateur Firefox depuis un certain temps, vous devriez.

8 Des vulnérabilités de Firefox découvertes

Trois des cinq failles à haut risque pourraient permettre l'exécution de code arbitraire. Dans le contexte d'un navigateur Web, cela signifie que le chargement d'une page malveillante pourrait facilement entraîner des infections de logiciels malveillants sur le système.. Heureusement, ces bogues ont été découverts par les propres développeurs de Mozilla.




Les développeurs de Mozilla Tom Tung et Karl Tomlinson ont découvert les bogues CVE-2020-12410 à haut risque, décrit comme des bugs de sécurité de la mémoire corrigés dans Firefox 77 et ESR Firefox 68.9. "Certains de ces bogues ont montré des preuves de corruption de mémoire et nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire,”Mozilla dit.

Suivant sur la liste des bugs les plus dangereux traités dans Firefox 77 est CVE-2020-12406, ou une confusion de type JavaScript avec NativeTypes. Rapporté par Iain Ireland, un développeur Mozilla, le bogue pourrait conduire à l'exécution de code arbitraire. Le bogue est provoqué par une vérification de type manquante lors de la suppression des objets sans boîte, entraînant un crash.

La troisième vulnérabilité découverte en interne est CVE-2020-12411. Les bugs de sécurité de la mémoire ont été découverts par les développeurs de Mozilla par Gijs (il / lui), Randell Jesup qui a signalé des bugs de sécurité mémoire présents dans Firefox 76. Certains de ces bogues ont montré des signes de corruption de la mémoire et les chercheurs de Mozilla présument que «avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire".

en relation: [wplinkpreview url =”https://sensorstechforum.com/no-flash-support-firefox-end-2020/”] Plus de support Flash dans Firefox d'ici la fin de 2020

CVE-2020-12399 est un autre exemple des cinq vulnérabilités de gravité élevée. Il est décrit comme une attaque temporelle sur les signatures DSA dans la bibliothèque NSS. Le bogue a été signalé par Cesar Pereida Garcia et le groupe Sécurité des réseaux et de l'information (NISEC) à Tampere University. L'impact des vulnérabilités est considéré comme élevé. Selon l'avis officiel de Mozilla, NSS a montré des différences de synchronisation lors de l'exécution des signatures DSA, qui était exploitable et pourrait éventuellement faire fuir des clés privées.

Un autre problème très grave est CVE-2020-12405, ou une vulnérabilité d'utilisation après libération dans SharedWorkerService, rapporté par Marcin ‘Icewall’ Étape de Cisco Talos. Lors de la navigation sur une page malveillante, une condition de concurrence critique dans notre SharedWorkerService pourrait se produire et conduire à un crash potentiellement exploitable, l'avis décrit.

Le bogue le plus grave des trois vulnérabilités restantes est CVE-2020-12407, évalué comme modéré. La faille est liée à une fuite de mémoire GPU:

Le développeur de Mozilla, Nicolas Silva, a constaté que lors de l'utilisation de WebRender, Dans certaines conditions, Firefox laisserait de la mémoire GPU arbitraire à l'écran visible. Le contenu de la fuite de mémoire était visible pour l'utilisateur, mais pas observable à partir du contenu Web.

Enfin, CVE-2020-12408 et CVE-2020-12409 sont tous deux considérés comme à faible risque et sont liés à l'usurpation d'adresse URL. Ils ont été rapportés par le chercheur indépendant Rayyan Bijoora.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...