Une vulnérabilité de type dépassement de tampon a été découverte dans les clients Zoom pour les versions précédant la version 5.6.3. Un attaquant distant non authentifié peut exécuter un code arbitraire sur le système cible. Ceci est dû à la validation d’URL incorrecte lors de l’envoi d’un message XMPP pour accéder à une URL d’application Zoom Marketplace et à la validation d’URL incorrecte lors de l’affichage d’une image GIPHY.

• Mettre à jour Zoom conformément aux instructions de l’éditeur (version 5.6.3).

  • https://www.cyberveille-sante.gouv.fr/cyberveille/2706-vulnerabilite-dans-zoom-2021-08-17

Une vulnérabilité aux attaques par fractionnement d’en-têtes a été découverte sur Mozilla Firefox et Mozilla Thunderbird. Son exploitation peut permettre à un attaquant distant non authentifié de contourner les restrictions d’accès aux données via HTTP/3 Responses Header Splitting et d’obtenir des informations sensibles.

Cette vulnérabilité s’explique par le fait que le logiciel accepte à tort une nouvelle ligne dans un en-tête HTTP/3 en l’interprétant comme deux en-têtes distincts.

• Firefox versions antérieures à 91.0.1
• Thunderbird versions antérieures à 91.0.1

Mettre à jour les composants conformément aux instructions de l’éditeur.

• • https://www.cyberveille-sante.gouv.fr/cyberveille/2709-vulnerabilite-dans-mozilla-2021-08-18
  • https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-634/

Mettre à jour Firefox vers la dernière version

• https://support.mozilla.org/fr/kb/mettre-jour-firefox-derniere-version?redirectslug=Mettre+%C3%A0+jour+Firefox&redirectlocale=fr