Un tas de failles de sécurité critiques affectent le navigateur Mozilla Firefox. Un autre défaut de sévérité élevée a également été découvert dans Google Chrome. Il semble que tous les bugs pourraient conduire à l'exécution de code arbitraire.
Selon un avis par MS-ISAC (Centre de partage et d'analyse des informations dans plusieurs États), en fonction des privilèges associés à l'utilisateur, un attaquant pourrait installer des programmes, ainsi que vue, modifier ou supprimer des données. Un attaquant pourrait également créer de nouveaux comptes avec les droits d'utilisateur complet. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur sur le système subiraient moins d'impact que ceux qui possèdent des droits d'administrateur, le dit consultatif.
Bugs Mozilla Firefox
Selon le conseil de Mozilla, 9 les questions de sécurité ont été fixés dans Firefox ESR. L'avis CVE-2019-11764, en particulier, est décrit comme un problème de sécurité mémoire, et a abordé plusieurs problèmes dans Firefox 69 et ESR Firefox 68.1. L'impact de la vulnérabilité est considérée comme critique.
La Fondation Mozilla affirme que certaines des vulnérabilités AFFICHE « preuves de corruption de mémoire » ce qui signifie qu'ils pourraient être exploitées par des attaquants déterminés pour exécuter du code arbitraire. Il semble que le gouvernement des grandes et moyennes entreprises et les organisations sont plus à risque.
D'autres bogues de haute gravité abordées dans le dernier patch de Firefox ESR sont les suivantes:
CVE-2019-15903 – un débordement de tas dans la bibliothèque expat en XML_GetCurrentLineNumber;
CVE-2019-11758 – un accident potentiellement exploitables en raison de 360 Total Security;
CVE-2019-11757 – une utilisation ultérieure sans bug qui se produit lors de la création des mises à jour d'index dans IndexedDB.
Plusieurs vulnérabilités de haute gravité ont été fixés dans Mozilla Firefox sont CVE-2019-15903 et CVE-2019-11757 qui affectent également Firefox ESR, et un débordement de mémoire tampon dans le traitement FEC en WebRTC connu sous l'identificateur de CVE-2018-6156.
La recommandation donne MS-ISAC est patcher immédiatement mais seulement après des tests appropriés est fait.
Les questions de Chrome
La mise à jour de Google Chrome a fixé un total de 37 les problèmes de sécurité. L'une des vulnérabilités a été signalé par le chercheur de sécurité Man Yue de Semmle Security Research Team, qui a été payé une prime de $20,000. La vulnérabilité en question est CVE-2019-13699 - un problème sans après une utilisation très sévère dans les médias. Il y a deux autres bugs graves fixes dans le navigateur – CVE-2019-13700 (un tampon saturé dans des clignements) et CVE-2019-13701 (spoof URL dans la navigation.)
Plus d'informations sur les questions de Chrome est disponible en Le conseil de Google.