Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Firefox versions antérieures à 72.0.1
- Firefox versions antérieures à ESR 68.4.1
- Thunderbird versions antérieures à 68.4.1
Résumé
Le 08 janvier 2020, Mozilla a publié un avis de sécurité (cf. section Documentation) annonçant que la vulnérabilité CVE-2019-17026 est activement exploitée dans le cadre d'attaques ciblées.
Cette vulnérabilité permet une exécution de code arbitraire à distance.
Le correctif étant disponible, le CERT-FR recommande l'application de la mise à jour dans les plus brefs délais.
[Mise à jour du 13 janvier 2020]
Le 10 janvier 2020, Mozilla a publié un avis de sécurité Thunderbird indiquant que son client de messagerie électronique était également affecté par la vulnérabilité CVE-2019-17026 (cf. section Documentation). Le correctif est disponible et doit être appliqué dès que possible.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mozilla mfsa2020-03 du 08 janvier 2020 https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
- Bulletin de sécurité Mozilla mfsa2020-04 du 10 janvier 2020 https://www.mozilla.org/en-US/security/advisories/mfsa2020-04/
- Avis CERT-FR CERTFR-2020-AVI-016 du 09 janvier 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-016/
- Avis CERT-FR CERTFR-2020-AVI-019 du 13 janvier 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-019/ https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-016/
- Référence CVE CVE-2019-17026 https://www.cve.org/CVERecord?id=CVE-2019-17026