Le dernier Patch Tuesday, la Fondation Mozilla a publié son bulletin de sécurité dans lequel 12 vulnérabilités ont été corrigées, dont 4 considérées comme étant de haute gravité.

Deux bugs présents dans les versions Firefox 96 et Firefox ESR 91.5 permettraient à un attaquant distant de corrompre la mémoire et vraisemblablement d’exécuter du code arbitraire (CVE-2022-22764 et CVE-2022-0511).

Une autre vulnérabilité, attribuée au code CVE-2022-22753, permettrait à un attaquant d’escalader ses privilèges en exploitant un bug « Time-of-Check Time-of-Use ». Dans un tel scénario, l’attaquant pourrait obtenir les privilèges du système et écrire dans un répertoire arbitraire. Cette vulnérabilité n’affecte que les systèmes Windows.

Un contournement des restrictions de sécurité qui permettrait à une extension malveillante d’installer une nouvelle version d’une telle extension sans afficher le message de confirmation est également corrigé (CVE-2022-22754).

Les vulnérabilités restantes sont considérées comme étant d’une criticité modérée et permettraient, entre autres, l’exécution de code Javascript à partir d’un onglet déjà fermé (CVE-2022-22755), l’exécution de code arbitraire en manipulant l’utilisateur pour qu’il fasse glisser une image sur son bureau ou dans un autre répertoire (CVE-2022-22756), la possibilité pour une page locale malveillante de contrôler un navigateur avec WebDriver activé (CVE-2022-22757), l’envoi de codes USSD via des liens « tel » (CVE-2022-22758), l’exécution de scripts dans des iframes isolées sans que la propriété « allow-scripts » soit active (CVE-2022-22760), ou l’application incorrecte des politiques de sécurité du contenu sur les pages accessibles depuis des extensions (CVE-2022-22761).

Il est fortement recommandé de mettre à jour dès que possible la dernière version de Mozilla Firefox qui corrige ces vulnérabilités.

Plus d’information:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/