Le bug affecte à la fois Firefox et son équivalent pour entreprise, Extended Support Release (ESR). Selon Mozilla :
Une vulnérabilité de confusion de type peut se produire lors de la manipulation d’objets JavaScript en raison de problèmes liés à Array.pop.
Les programmeurs utilisent l’objet array
de JavaScript pour contenir une collection d’éléments de données. pop
est une commande qu’ils peuvent utiliser pour supprimer le dernier élément au sein d’une série.
Une vulnérabilité de confusion de type se produit lorsqu’un programme ne vérifie pas le type d’un élément de donnée qui lui est transmis. Cela peut supposer qu’il reçoit un numéro, par exemple, alors qu’il s’agit d’une chaîne de caractères. Si aucune vérification n’est effectuée, cela peut entraîner une mauvaise manipulation de l’élément de donnée en question, pouvant ainsi déstabiliser le code.
Dans ce cas, l’effet est catastrophique. En effet, selon l’avertissement émis :
Cela peut permettre un crash exploitable. Nous sommes au courant d’attaques ciblées, et actives à l’heure actuelle, abusant de cette faille zero-day.
La vulnérabilité a été découverte par Samuel Groß de Google Project Zero et a reçu le numéro CVE-2019-11707. Le Department of Homeland Security a également publié une alerte concernant cette faille zero-day.
Mozilla a corrigé la faille dans Firefox version 67.0.3 et dans Firefox ESR version 60.7.1. Comme certains individus malveillants exploitent déjà ce bug, il est important de mettre à jour votre système avec la dernière version, et ce dès à présent !
Firefox recherche automatiquement les mises à jour et les installe, mais si vous êtes inquiet, vous pouvez forcer le système à le faire manuellement. Pour ce faire, sélectionnez ‘Aide’ et ‘À propos de Firefox’. Cette action le forcera à vérifier les mises à jour et à les installer. Une fois cette vérification terminée, redémarrez le navigateur.
Les utilisateurs du navigateur Tor (basé sur Firefox) doivent également mettre à jour leur navigateur avec la version 8.5.2, qui vient d’être publiée par l’entreprise. La version Android n’est pas encore disponible. L’équipe de Tor a déclaré :
Comme une partie de notre équipe se rend actuellement à un événement, nous ne pouvons pas accéder à notre jeton de signature Android. Par conséquent, la version Android n’est pas encore disponible. Nous espérons pouvoir publier cette version le vite possible.
En attendant, les utilisateurs Android devraient utiliser les niveaux safer
ou safest
, a conclu l’équipe Tor. Pour ce faire, sélectionnez ‘Paramètres de sécurité‘ dans le menu situé à droite de la barre d’URL.
Billet inspiré de Update Firefox now! Zero-day found in the wild, sur Sophos nakedsecurity.