Mise à jour urgente : Une faille zero-day découverte dans Firefox !

Cybersécurité

Mozilla a corrigé une faille zero-day critique dans la dernière version de son navigateur web Firefox. La faille de sécurité permettrait à des attaquants d’exécuter leur propre code en exploitant le navigateur avec du JavaScript malveillant, et certains cybercriminels cibleraient déjà des utilisateurs Firefox !

faille zero-day

Le bug affecte à la fois Firefox et son équivalent pour entreprise, Extended Support Release (ESR). Selon Mozilla :

Une vulnérabilité de confusion de type peut se produire lors de la manipulation d’objets JavaScript en raison de problèmes liés à Array.pop.  

Les programmeurs utilisent l’objet array de JavaScript pour contenir une collection d’éléments de données. pop est une commande qu’ils peuvent utiliser pour supprimer le dernier élément au sein d’une série.

Une vulnérabilité de confusion de type se produit lorsqu’un programme ne vérifie pas le type d’un élément de donnée qui lui est transmis. Cela peut supposer qu’il reçoit un numéro, par exemple, alors qu’il s’agit d’une chaîne de caractères. Si aucune vérification n’est effectuée, cela peut entraîner une mauvaise manipulation de l’élément de donnée en question, pouvant ainsi déstabiliser le code.

Dans ce cas, l’effet est catastrophique. En effet, selon l’avertissement émis :

Cela peut permettre un crash exploitable. Nous sommes au courant d’attaques ciblées, et actives à l’heure actuelle, abusant de cette faille zero-day.  

La vulnérabilité a été découverte par Samuel Groß de Google Project Zero et a reçu le numéro CVE-2019-11707. Le Department of Homeland Security a également publié une alerte concernant cette faille zero-day.

Mozilla a corrigé la faille dans Firefox version 67.0.3 et dans Firefox ESR version 60.7.1. Comme certains individus malveillants exploitent déjà ce bug, il est important de mettre à jour votre système avec la dernière version, et ce dès à présent !

Firefox recherche automatiquement les mises à jour et les installe, mais si vous êtes inquiet, vous pouvez forcer le système à le faire manuellement. Pour ce faire, sélectionnez ‘Aide’ et ‘À propos de Firefox’. Cette action le forcera à vérifier les mises à jour et à les installer. Une fois cette vérification terminée, redémarrez le navigateur.

Les utilisateurs du navigateur Tor (basé sur Firefox) doivent également mettre à jour leur navigateur avec la version 8.5.2, qui vient d’être publiée par l’entreprise. La version Android n’est pas encore disponible. L’équipe de Tor a déclaré :

Comme une partie de notre équipe se rend actuellement à un événement, nous ne pouvons pas accéder à notre jeton de signature Android. Par conséquent, la version Android n’est pas encore disponible. Nous espérons pouvoir publier cette version le vite possible.  

En attendant, les utilisateurs Android devraient utiliser les niveaux safer ou safest, a conclu l’équipe Tor. Pour ce faire, sélectionnez ‘Paramètres de sécurité‘ dans le menu situé à droite de la barre d’URL.


Billet inspiré de Update Firefox now! Zero-day found in the wild, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.