Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 566
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 566
    Points : 119 536
    Points
    119 536

    Par défaut Mozilla publie Firefox 67.0.3 pour corriger d'urgence une faille zero day jaugée critique

    Mozilla publie Firefox 67.0.3 pour corriger d'urgence une faille zero day jaugée critique,
    qui est déjà exploitée par des cybercriminels

    Si vous utilisez Firefox, le moment est venu de mettre à jour votre navigateur. Une vulnérabilité zero day a été découverte et est activement exploitée dans des attaques ciblées.

    La faille de sécurité a été révélée via le Project Zero de Google et concerne TOUTES les versions de Firefox. Néanmoins, la bonne nouvelle c’est qu’un correctif est disponible depuis le 18 juin dans dans les versions Firefox 67.0.3 et Firefox ESR 60.7.1. Aussi, Mozilla encourage vivement les utilisateurs à effectuer une mise à jour.

    Dans un bulletin de sécurité, les ingénieurs Mozilla ont donné quelques explications sur la nature de la faille. Ils expliquent par exemple qu’il s’agit d’une vulnérabilité qui peut se déclencher en manipulant des éléments JavaScript à cause de problèmes dans la méthode Array.pop (qui permet de supprimer le dernier élément d’un tableau JavaScript). Il est aussi signalé que le bogue profite d’une confusion sur le type de données en JavaScript.

    « Une vulnérabilité de confusion de type peut se produire lors de la manipulation d'objets JavaScript en raison de problèmes rencontrés dans Array.pop. Cela peut conduire à un plantage exploitable. Nous sommes au courant d'attaques ciblées exploitant cette faille », peut-on lire sur le billet explicitement vague.

    Nom : firefox.png
Affichages : 2597
Taille : 45,6 Ko

    Hormis la courte description publiée sur le site Mozilla, il n’y a pas d’autres détails sur cette faille de sécurité ou les attaques en cours.

    Suite à une demande de détails supplémentaires, Groß a déclaré : « le bogue pourrait être exploité pour une RCE [exécution de code à distance], mais il faudrait alors un échappement sandbox séparé » pour exécuter du code sur un système d'exploitation sous-jacent.

    « Cependant, il est fort probable qu'il puisse également être exploité pour du Cross-scripting, ce qui pourrait être suffisant en fonction des objectifs de l'attaquant », a-t-il ajouté. Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.

    Groß a également précisé ne pas avoir de détails sur la manière dont la faille zero day était utilisé, et a indiqué que Coinbase Security pourrait en savoir plus sur les attaques découvertes.

    « Je n'ai aucune idée de la partie relative à l'exploitation active. J'ai trouvé puis rapporté le bogue le 15 avril », a déclaré le chercheur en sécurité de Google.

    Néanmoins, certains pourraient se dire que, sur la base de l’autre entité qui a signalé la faille de sécurité (Coinbase Security), nous pouvons supposer que cette faille de sécurité était exploitée lors d'attaques visant les propriétaires de crypto-monnaies.

    Pour obtenir la toute dernière version de Firefox, ouvrez le navigateur et cliquez sur le point d’interrogation dans la barre de menu. Sélectionnez la ligne « À propos de Firefox » et lancez le téléchargement si jamais il ne démarre pas automatiquement. Redémarrez le logiciel pour finaliser l’installation. Il est peut-être possible que la version 67.0.3 se soit automatiquement installée au démarrage de Firefox.

    Source : Mozilla

    Et vous ?

    Utilisez-vous Firefox ?
    Allez-vous effectuer la mise à jour ?

    Voir aussi :

    Mozilla veut une refonte complète de l'identité visuelle de Firefox et de ses services associés et dévoile de nouveaux logos pour la marque
    Mozilla s'achemine vers un ensemble de services payants pour Firefox afin de rééquilibrer ses sources de revenus
    Firefox Monitor, le tableau de bord qui vous prévient si une fuite de données en ligne vous concerne, est désormais disponible en français
    Firefox empêche désormais les sites Web et les annonceurs de vous suivre et met fin au suivi de Facebook à partir des boutons "Partager" et "J'aime"
    Firefox 67 débarque avec WebRender, le nouveau moteur de rendu graphique, qui sera déployé dans un premier temps chez 5% des utilisateurs
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Profil pro
    Ingénieur Syslog-ng
    Inscrit en
    juillet 2008
    Messages
    236
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur Syslog-ng

    Informations forums :
    Inscription : juillet 2008
    Messages : 236
    Points : 700
    Points
    700

    Par défaut Oh, c'était mieux avant !

    Moi, j'aimais bien le temps du web où le browser ne faisait qu'afficher du pur HTML qui avait été généré par du php ou du perl-cgi coté serveur. Puis on a eu les activeX de sinistre mémoire, et maintenant cet horrible javascript...

Discussions similaires

  1. Réponses: 1
    Dernier message: 13/02/2019, 15h10
  2. Réponses: 0
    Dernier message: 13/09/2017, 11h26
  3. Réponses: 0
    Dernier message: 30/11/2016, 15h04
  4. Réponses: 1
    Dernier message: 03/09/2016, 21h42
  5. Mozilla publie Firefox OS 1.3
    Par Hinault Romaric dans le forum Mobiles
    Réponses: 5
    Dernier message: 09/05/2014, 19h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo