Selon un avis publié sur le site web de Mozilla, le problème identifié sous le nom CVE-2019-17026 est un bug de confusion de type affectant le compilateur JIT (Javascript Just-in-Time) IonMonkey de Firefox.
Pour clarifier, un compilateur JIT prend le code source JavaScript, comme vous le trouverez dans la plupart des pages web de nos jours, et le convertit en code informatique exécutable, de sorte que le JavaScript s’exécute directement dans Firefox comme s’il faisait partie intégrante de l’application.
Cette méthode améliore généralement les performances, souvent de manière notable d’ailleurs.
Ironiquement, la plupart des applications modernes implémentent ce que l’on appelle la DEP, abréviation de Data Execution Prevention, une atténuation des menaces qui aide à empêcher les cybercriminels d’envoyer ce qui ressemble à des données inoffensives, mais qui incitent ensuite l’application à exécuter ces données comme s’il s’agissait d’un programme déjà approuvé.
NB : Le code déguisé en données est appelé dans le jargon shellcode.
La DEP signifie qu’une fois qu’un programme est en cours d’exécution, les données qu’il utilise, en particulier si elles proviennent d’une source non fiable, ne peuvent pas être transformées en code exécutable, accidentellement ou non.
Mais les compilateurs JIT sont dispensés de contrôles DEP, car convertir les données en code et les exécuter est précisément ce qu’ils font, et c’est pourquoi les cybercriminels adorent rechercher les failles dans les systèmes JIT.
Cette faille zero-day a été signalée à Mozilla par la société de sécurité chinoise Qihoo 360, mais la mauvaise nouvelle est que les attaquants avaient une longueur d’avance sur Mozilla, qui a déclaré par la suite :
Nous avons eu connaissance d’attaques ciblées, sur le terrain, qui utilisaient de cette faille.
Rien n’a encore été révélé sur la nature réelle de ces attaques au-delà de cette déclaration.
Le terme ‘ciblé‘ est souvent utilisé pour désigner une campagne menée par des soi-disant acteurs sponsorisés par l’État, mais il est plus sûr de partir du principe que tout le monde pourrait être concerné. En effet, une attaque qui commence sous la forme d’une campagne limitée, visant des cibles spécifiques, peut rapidement être reprise par n’importe quel cybercriminel, aux méthodes plus classiques.
La dernière fois que Mozilla a dû corriger une faille zero-day, c’était en juin dernier quand il en a corrigé deux en une seule semaine, lesquelles étaient utilisées pour cibler les plateformes d’échanges de cryptomonnaie.
Quoi faire ?
Si vous utilisez la version standard de Firefox, assurez-vous que vous disposez de la version 72.0.1.
Votre version de Firefox s’est peut-être mise à jour automatiquement, mais cela vaut tout de même la peine de vérifier.
Rendez-vous donc dans la section Aide → À propos de Firefox (ou Firefox → À propos de Firefox sur un Mac), dans laquelle vous verrez apparaître le numéro de la version actuelle que vous utilisez et une mise à jour vous sera proposée si vous ne disposez pas de la dernière.
Certaines distributions Linux et de nombreuses entreprises s’en tiennent à la version Extended Support Release (ESR) de Firefox car elle bénéficie de correctifs de sécurité au même rythme que la version standard, mais ne vous oblige pas à adopter les nouvelles fonctionnalités à chaque mise à jour.
Donc, si vous êtes un utilisateur ESR, vous devez mettre à jour votre navigateur vers la version 68.4.1esr pour obtenir ce correctif (notez que 68 + 4 = 72, ce qui est un moyen simple de savoir quelle version ESR correspond à la niveau mise à jour de sécurité de la version actuelle).
Note aux utilisateurs de Tor
Plus important encore, le navigateur fourni avec Tor, l’ensemble de logiciels améliorant la protection de la vie privée et qui vous aide à naviguer sans être suivi, est un build spécial de Firefox ESR.
Malheureusement, Tor a basculé, dans les dernières 24h, seulement vers la version 68.4.0esr du code Firefox, et n’a pas encore sorti sa mise à jour 68.4.1esr.
Le site Tor à l’heure actuelle [2020-01-09T12: 00Z] déclare : “nous prévoyons de publier bientôt la version 9.0.4 du navigateur Tor intégrant ce correctif”, alors gardez les yeux bien ouverts pour profiter de cette mise à jour : une attaque zero-day réussie visant le navigateur de Tor pourrait supprimer l’anonymat et la confidentialité qui vous ont fait choisir Tor au départ.
En attendant, nous pensons que vous pouvez mitiger le risque dans Tor en désactivant complètement le système IonMonkey JIT : entrez about:config dans la barre d’adresse, puis chercher l’entrée javascript.options.ion et faites-la passer de true (par défaut) à false.
Ce changement pourrait légèrement ralentir une partie de votre navigation, mais pour autant que nous le sachions, il permet de passer outre le processus de compilation IonMonkey JIT et évite donc que vous soyez victime de cette faille zero-day.
NB : Le projet Tor a tweeté, avertissant de la disponibilité de sa propre mise à jour le 2020-01-10T15:00Z. La version Tor mise à jour est 9.0.4, basée sur Firefox 68.4.1esr.
REGARDEZ NOTRE VIDEO SOPHOS LIVE
Voici une vidéo de la playlist Naked Security Live sur notre nouvelle chaîne YouTube :
Billet inspiré de Browser zero day: Update your Firefox right now!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.