Plus tôt ce mois-ci, Mozilla a lancé une alerte de sécurité (MFSA2018-14) pour son navigateur Firefox, notant que la version 60.0.2 de Firefox et de Firefox Extended Support Release (ESR) ainsi que l’ancienne ESR (ESR 52.8.1) disposaient à présent d’un correctif pour une vulnérabilité concernant un dépassement de tampon de niveau critique, dans la vraie vie de SysAdmin on dit buffer overflow :-)
Ce bug de dépassement de tampon, découvert par Ivan Fratric de Google Project Zero, se situe dans l’implémentation de la bibliothèque Skia de Firefox, une bibliothèque graphique open-source qui est utilisée par presque tous les principaux navigateurs.
Skia est utilisé pour le rendu graphique et la pixellisation des images et du texte, et Fratric a découvert qu’un cybercriminel pouvait provoquer un dépassement de tampon lors du processus de rastérisation, si un fichier image SVG malveillant était utilisé avec la fonction anti-aliasing désactivée. L’alerte lancée par Mozilla mentionnait que ce dépassement de tampon pouvait entraîner “un crash potentiellement exploitable”.
Nous ne disposons pas de plus de détails pour l’instant, mais cette vulnérabilité a été jugée critique par Mozilla, signifiant ainsi qu’elle aurait pu permettre à un cybercriminel d’exécuter du code sans aucune intervention de l’utilisateur, au-delà d’une utilisation classique du navigateur. En effet, vous aviez tout simplement à visiter le mauvais site web !
Les versions corrigées de Firefox ont été mises à disposition le 6 juin, donc si vous avez récemment lancé votre navigateur, il y a des chances qu’il soit déjà corrigé.
Pour être sûr cependant, vérifiez pour savoir exactement quelle version du navigateur vous utilisez : dans Firefox sous Windows, allez sur Aide et sélectionnez À propos de Firefox, sur un Mac, rendez-vous sur Firefox et sélectionnez À propos de Firefox.
Vous verrez le numéro de la version du navigateur et, espérons-le, vous verrez une notification “Firefox est à jour” dans la fenêtre de notification qui apparaît. Si ce n’est pas le cas, cliquez sur le bouton de mise à jour.
Billet inspiré de Firefox fixes critical buffer overflow, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.