faille zero-day
Produits et Services PRODUITS & SERVICES

Mise à jour urgente : Une faille zero-day découverte dans Firefox !

Mozilla a corrigé une faille zero-day critique dans la dernière version de son navigateur web Firefox. La faille de sécurité permettrait à des attaquants d’exécuter leur propre code en exploitant le navigateur avec du JavaScript malveillant, et certains cybercriminels cibleraient déjà des utilisateurs Firefox !
Texte écrit par
21 juin 2019
Cybersécurité

Le bug affecte à la fois Firefox et son équivalent pour entreprise, Extended Support Release (ESR). Selon Mozilla :

Une vulnérabilité de confusion de type peut se produire lors de la manipulation d’objets JavaScript en raison de problèmes liés à Array.pop.  

Les programmeurs utilisent l’objet array de JavaScript pour contenir une collection d’éléments de données. pop est une commande qu’ils peuvent utiliser pour supprimer le dernier élément au sein d’une série.

Une vulnérabilité de confusion de type se produit lorsqu’un programme ne vérifie pas le type d’un élément de donnée qui lui est transmis. Cela peut supposer qu’il reçoit un numéro, par exemple, alors qu’il s’agit d’une chaîne de caractères. Si aucune vérification n’est effectuée, cela peut entraîner une mauvaise manipulation de l’élément de donnée en question, pouvant ainsi déstabiliser le code.

Dans ce cas, l’effet est catastrophique. En effet, selon l’avertissement émis :

Cela peut permettre un crash exploitable. Nous sommes au courant d’attaques ciblées, et actives à l’heure actuelle, abusant de cette faille zero-day.  

La vulnérabilité a été découverte par Samuel Groß de Google Project Zero et a reçu le numéro CVE-2019-11707. Le Department of Homeland Security a également publié une alerte concernant cette faille zero-day.

Mozilla a corrigé la faille dans Firefox version 67.0.3 et dans Firefox ESR version 60.7.1. Comme certains individus malveillants exploitent déjà ce bug, il est important de mettre à jour votre système avec la dernière version, et ce dès à présent !

Firefox recherche automatiquement les mises à jour et les installe, mais si vous êtes inquiet, vous pouvez forcer le système à le faire manuellement. Pour ce faire, sélectionnez ‘Aide’ et ‘À propos de Firefox’. Cette action le forcera à vérifier les mises à jour et à les installer. Une fois cette vérification terminée, redémarrez le navigateur.

Les utilisateurs du navigateur Tor (basé sur Firefox) doivent également mettre à jour leur navigateur avec la version 8.5.2, qui vient d’être publiée par l’entreprise. La version Android n’est pas encore disponible. L’équipe de Tor a déclaré :

Comme une partie de notre équipe se rend actuellement à un événement, nous ne pouvons pas accéder à notre jeton de signature Android. Par conséquent, la version Android n’est pas encore disponible. Nous espérons pouvoir publier cette version le vite possible.  

En attendant, les utilisateurs Android devraient utiliser les niveaux safer ou safest, a conclu l’équipe Tor. Pour ce faire, sélectionnez ‘Paramètres de sécurité‘ dans le menu situé à droite de la barre d’URL.


Billet inspiré de Update Firefox now! Zero-day found in the wild, sur Sophos nakedsecurity.

Sophos
À propos de l’auteur

Sophos France, filiale de Sophos Plc vous propose des informations et des alertes pour lutter contre la cybercriminalité. Etre au courant des menaces est le premier pas vers la cybersécurité.

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *