Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Firefox versions antérieures à 72.0.1
  • Firefox versions antérieures à ESR 68.4.1
  • Thunderbird versions antérieures à 68.4.1

Résumé

Le 08 janvier 2020, Mozilla a publié un avis de sécurité (cf. section Documentation) annonçant que la vulnérabilité CVE-2019-17026 est activement exploitée dans le cadre d'attaques ciblées.

Cette vulnérabilité permet une exécution de code arbitraire à distance.

Le correctif étant disponible, le CERT-FR recommande l'application de la mise à jour dans les plus brefs délais.

[Mise à jour du 13 janvier 2020]

Le 10 janvier 2020, Mozilla a publié un avis de sécurité Thunderbird indiquant que son client de messagerie électronique était également affecté par la vulnérabilité CVE-2019-17026 (cf. section Documentation). Le correctif est disponible et doit être appliqué dès que possible.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation