Une nouvelle vulnérabilité de divulgation d'informations, CVE-2020-12418, vient d'être découvert dans Mozilla Firefox. Découvert par Cisco Talos, la vulnérabilité peut être exploitée en incitant l'utilisateur à visiter une page Web spécialement conçue via le navigateur.
Dans le cas d'un exploit réussi, l'acteur de la menace pourrait utiliser une fuite de mémoire pour contourner l'ASLR (Adresse Randomisation Space Layout). Si le défaut est combiné avec d'autres bogues, l'attaquant pourrait obtenir la possibilité d'exécuter du code arbitraire, les chercheurs mettent en garde.
"Conformément à notre politique de divulgation coordonnée, Cisco Talos a travaillé avec Mozilla pour s'assurer que ces problèmes sont résolus et qu'une mise à jour est disponible pour les clients concernés,"Dit le blog.
Vulnérabilité de divulgation d'informations dans Mozilla Firefox: CVE-2020-12418
La définition officielle de la vulnérabilité est «Vulnérabilité de divulgation d'informations mPath dans l'URL de Mozilla Firefox (TALOS-2020-1088 / CVE-2020-12418)".
Selon Cisco Talos:
Il existe une vulnérabilité de divulgation d'informations dans la fonctionnalité URL mPath de Mozilla Firefox Firefox Nightly version 78.0a1 x64 et Firefox Release Version 76.0.2 x64. Un objet URL spécialement conçu peut provoquer une lecture hors limites. Un attaquant peut visiter une page web pour déclencher cette vulnérabilité.
Le problème a été testé sur Mozilla Firefox Firefox Nightly Version 78.0a1 x64 et Mozilla Firefox Firefox Release Version 76.0.2 x64. Les deux versions du navigateur sont affectées.
En termes plus techniques, la vulnérabilité est liée à l'objet URL. "Une page Web malveillante utilisant un état d'objet URL correct peut entraîner une fuite de mémoire dans le navigateur, ce qui peut aider un attaquant à contourner ASLR et à exécuter du code arbitraire,» Les chercheurs expliquent.
Plus d'informations sont disponible.
Le mois dernier, Mozilla est sorti mises à jour de sécurité corrigeant huit vulnérabilités, dont cinq classés à haut risque. Trois des cinq failles à haut risque pourraient permettre l'exécution de code arbitraire. Dans le contexte d'un navigateur Web, cela signifie que le chargement d'une page malveillante pourrait facilement entraîner des infections de logiciels malveillants sur le système.. Heureusement, ces bogues ont été découverts par les propres développeurs de Mozilla.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: