Mozilla a publié des mises à jour de sécurité pour le navigateur Firefox et le client de messagerie Thunderbird afin de remédier à de multiples vulnérabilités, dont plusieurs jugées très graves pouvant permettre à un attaquant d'exécuter du code arbitraire, ce qui pourrait potentiellement conduire à une compromission complète du système.

La mise à jour du navigateur comprend des correctifs pour 13 vulnérabilités, dont six ont un degré de gravité élevé. Certains de ces correctifs étaient également inclus dans Firefox ESR 91.4 et Thunderbird 91.4.0.

La première de ces vulnérabilités de haute gravité (CVE-2021-43536) pourrait entraîner l'exposition de l'URL cible pendant la navigation lorsque des fonctions asynchrones sont exécutées. Une autre (CVE-2021-43537) est un débordement de tampon de tas causé par la "conversion incorrecte du type des tailles de 64 bits en entiers de 32 bits".

Mozilla a également corrigé une faille permettant l’usurpation d'identité où la notification de verrouillage du plein écran et du pointeur était absente lors de la demande des deux (CVE-2021-43538), ainsi qu'une vulnérabilité de type "use-after-free" causée par le GC ne traçant pas les pointeurs actifs (CVE-2021-43539).

En outre, une faille de haute gravité de type "use-after-free" dans Firefox pour macOS a été corrigée.

L’entreprise a également publié des correctifs pour des bugs de sécurité de mémoire de gravité élevée qui ont été trouvés dans les itérations précédentes de ses applications, ainsi que des correctifs pour plusieurs vulnérabilités de gravité moyenne et faible.

Nous invitons les utilisateurs de d’appliquer ces mises à jour afin de se protéger des éventuelles exploitations de ces failles.