Mozilla vient de sortir la version 67 de son navigateur Firefox, corrigeant ainsi quelques bugs de sécurité et introduisant de nombreuses fonctionnalités concernant la protection de la vie privée.
Mozilla a également corrigé 11 failles à fort impact, six modérées et deux à faible impact dans cette même version.
Les bugs à fort impact incluent CVE 2019-9815, qui est censée permettre une attaque par canal auxiliaire au cours de laquelle un programme pourrait dérober des informations à un autre sur un Mac. Pour résoudre ce problème, Mozilla utilise une option Apple pour désactiver l’hyperthreading.
Mozilla a également corrigé plusieurs bugs à fort impact pouvant faire planter le navigateur, et permettant ainsi potentiellement à un attaquant d’exploiter l’instabilité du système. Parmi ces bugs, on note aussi une faille dans le processeur d’image du programme qui pourrait permettre à une image PNG malformée de le déstabiliser, ainsi que d’autres bugs dans l’event listener manager des navigateurs, et son implémentation XMLHttpRequest (une fonctionnalité couramment utilisée sur les sites web Ajax qui échangent en permanence des données entre le serveur et le navigateur).
On pouvait trouver aussi quelques bugs spécifiques à différents systèmes d’exploitation. Un bug dans WebGL qui pouvait provoquer des dépassements de mémoire tampon dans certains pilotes graphiques Linux. Un autre bug dans la version Windows qui pouvait permettre à des attaquants d’exploiter l’outil de signalement d’incidents intégré au navigateur et d’échapper au sandbox qu’il utilise pour protéger l’ordinateur hôte contre les processus du navigateur.
La dernière version propose également la technologie de blocage du fingerprinting. Cette technique, empruntée à l’implémentation Tor du navigateur Firefox, empêche les trackers d’utiliser des informations telles que la résolution et la profondeur de couleurs de votre navigateur pour vous identifier de manière unique sur différents sites web.
Vous pouvez maintenant aussi demander à Firefox de vérifier la présence de cryptomineurs sur les sites web qu’il visite. Il s’agit d’éléments JavaScript incorporés dans le code d’un site web qui forcent votre ordinateur à miner de la cryptomonnaie, souvent à votre insu d’ailleurs. Les attaquants qui compromettent un site web avec ce code peuvent véritablement monopoliser vos ressources informatiques dans leur quête de monnaie numérique, en optant en principe pour Monero, réputée pour son anonymat.
Dans la dernière édition de Firefox, vous pouvez accéder à ces options en cliquant sur la petite icône “i” dans la barre d’adresse, puis sous Blocage du contenu, en cliquant sur le symbole représentant une roue à droite. Cela vous permettra de sélectionner ces options individuellement.
Firefox a également ajouté d’autres fonctionnalités pour protéger la vie privée, notamment la possibilité de désactiver des extensions de navigateur individuellement et d’enregistrer des mots de passe en mode navigation privée.
Billet inspiré de Mozilla fixes bugs, improves privacy in latest Firefox release, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.