Plutôt que de publier des mises à jour de sécurité une fois par mois, Mozilla a choisi de le faire le jeudi toutes les 6 semaines, ou bien tous les 42 jours, nous les avons donc appelées “Fortytwosday”.
Cette mise à jour Firefox fait passer le build standard à 73.0, tandis que l’édition longue durée, qui comprend des correctifs de sécurité mais pas de mises à jour des fonctionnalités, passe quant à elle à 68.5.0esr.
ESR est l’abréviation de Extended Support Release, et si vous voulez savoir à quelle version standard elle correspond pour les correctifs de sécurité, ajoutez simplement les deux nombres les plus à gauche et vous remarquerez que 68+5 = 73.
La bonne nouvelle est qu’aucune des failles de sécurité corrigées dans cette mise à jour Firefox ne semble correspondre à ce que l’on appelle une vulnérabilité zero-day, qui est le terme consacré pour désigner les bugs que les cybercriminels découvrent en premier.
NB : Le terme zero-day signifie que même si vous êtes le genre de personne à patcher dès que vous le pouvez, dans ce cas précis vous ne disposez d’aucun jour pour prendre de l’avance sur les cybercriminels.
Six numéros de bugs officiels ont été attribués à cette série de correctifs, numérotés séquentiellement de CVE-2020-6796 à CVE-2020-6801.
CVE-2020-6801 semble à priori réservé aux modifications logicielles qui ne s’appliquent qu’à la version 73.0 de Firefox, signifiant ainsi probablement que ce sont des failles de sécurité dans le nouveau code du programme qui n’a été introduit que dans les fonctionnalités ajoutées dans les versions après 68.0.
Sinon, ces bugs auraient presque certainement été présents dans la version 68.4esr également, étant donné que “l’historique du code” des versions ESR et des versions principales ont fusionné après la version 68.0.
Les bugs notés CVE-2020-6800 et -6801 sont ceux que l’équipe Mozilla a elle-même trouvés comme étant des effets secondaires de leurs tests, toujours en cours et incessants, qui tentent d’identifier d’éventuelles failles de sécurité appelées bugs de sécurité de la mémoire.
C’est à ce moment-là que le logiciel a été surpris en train de faire des changements dans la mémoire qui ne sont pas censés se produire, un comportement qui est toujours mauvais, et doit être corrigé même si ces changements inattendus s’avèrent au final inoffensifs.
En d’autres termes, toutes les erreurs de sécurité de la mémoire comptent comme des vulnérabilités, car elles représentent des bugs qui pourraient menacer la sécurité, plutôt que d’affecter simplement les fonctionnalités.
Heureusement, la plupart des vulnérabilités ne peuvent pas être transformées en exploits, le terme consacré pour désigner les vulnérabilités qui peuvent être utilisées de manière active et prévisible sur le terrain, mais comme le note l’avis de sécurité de Mozilla avec une franchise déconcertante :
Certains de ces bugs ont montré des preuves de corruption de mémoire et nous supposons qu’avec suffisamment d’efforts, certains d’entre eux auraient pu être exploités pour exécuter du code arbitraire.
Un seul autre bug, CVE-2020-6796, obtient une note “élevée”, car il peut également entraîner une corruption de la mémoire.
De façon amusante (en effet, nous pouvons le dire maintenant que le bug a été traité), la faille concerne le système signalant les plantages de Firefox, par lequel un sous-processus pourrait modifier la mémoire à laquelle il n’aurait pas dû avoir accès, mais laquelle ne serait pas utilisée tant que le sous-processus lui-même ne se soit lui-même crashé.
Comme les codeurs le disent avec ironie :
Un processus de contenu aurait pu modifier la mémoire partagée relative aux informations rapportant les plantages, et se crasher lui-même et provoquer ainsi une écriture hors limites (out-of-bound). Cela aurait ainsi pu causer une corruption de la mémoire et un plantage potentiellement exploitable.
En termes simples, un sous-processus pourrait délibérément déclencher un bug qui aurait été volontairement placé dans le code, afin de déclencher un bug ultérieurement au niveau des données qui étaient censées être conservées au cas où le sous-processus crasherait par accident.
Les trois autres bugs sont jugés modérés; l’un s’applique uniquement aux utilisateurs Mac et l’autre uniquement à ceux de Windows.
Quoi faire ?
Installez les correctifs maintenant, ou si votre navigateur Firefox est configuré pour se mettre à jour automatiquement (c’est le réglage par défaut), allez vérifier que vous disposez de la dernière mise à jour Firefox.
Accédez à l’option Aide> À propos de Firefox, qui affiche une boîte de dialogue qui vous indiquera la version que vous possédez actuellement et installez la mise à jour si vous ne l’avez pas encore fait.
Firefox est à jour, aucun bouton de “téléchargement” ou de “redémarrage” n’est affiché.
NB : Le navigateur Tor, basé sur Firefox ESR, a également été mis à jour. Tor Browser 9.0.5 est sorti le 12/02/2020 et comprend Firefox 68.5.0esr. Vous pouvez utiliser la boîte de dialogue qui s’affiche via Aide> À propos du navigateur Tor pour vous assurer que votre Tor est bien à jour.
Dernier podcast Sophos-Naked Security
Billet inspiré de Firefox six-weekly security fixes are out – get them now!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.