Mozilla publie Firefox 67.0.3 pour corriger d'urgence une faille zero day jaugée critique
Mozilla publie Firefox 67.0.3 pour corriger d'urgence une faille zero day jaugée critique,
qui est déjà exploitée par des cybercriminels
Si vous utilisez Firefox, le moment est venu de mettre à jour votre navigateur. Une vulnérabilité zero day a été découverte et est activement exploitée dans des attaques ciblées.
La faille de sécurité a été révélée via le Project Zero de Google et concerne TOUTES les versions de Firefox. Néanmoins, la bonne nouvelle c’est qu’un correctif est disponible depuis le 18 juin dans dans les versions Firefox 67.0.3 et Firefox ESR 60.7.1. Aussi, Mozilla encourage vivement les utilisateurs à effectuer une mise à jour.
Dans un bulletin de sécurité, les ingénieurs Mozilla ont donné quelques explications sur la nature de la faille. Ils expliquent par exemple qu’il s’agit d’une vulnérabilité qui peut se déclencher en manipulant des éléments JavaScript à cause de problèmes dans la méthode Array.pop (qui permet de supprimer le dernier élément d’un tableau JavaScript). Il est aussi signalé que le bogue profite d’une confusion sur le type de données en JavaScript.
« Une vulnérabilité de confusion de type peut se produire lors de la manipulation d'objets JavaScript en raison de problèmes rencontrés dans Array.pop. Cela peut conduire à un plantage exploitable. Nous sommes au courant d'attaques ciblées exploitant cette faille », peut-on lire sur le billet explicitement vague.
Hormis la courte description publiée sur le site Mozilla, il n’y a pas d’autres détails sur cette faille de sécurité ou les attaques en cours.
Suite à une demande de détails supplémentaires, Groß a déclaré : « le bogue pourrait être exploité pour une RCE [exécution de code à distance], mais il faudrait alors un échappement sandbox séparé » pour exécuter du code sur un système d'exploitation sous-jacent.
« Cependant, il est fort probable qu'il puisse également être exploité pour du Cross-scripting, ce qui pourrait être suffisant en fonction des objectifs de l'attaquant », a-t-il ajouté. Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.
Groß a également précisé ne pas avoir de détails sur la manière dont la faille zero day était utilisé, et a indiqué que Coinbase Security pourrait en savoir plus sur les attaques découvertes.
« Je n'ai aucune idée de la partie relative à l'exploitation active. J'ai trouvé puis rapporté le bogue le 15 avril », a déclaré le chercheur en sécurité de Google.
Néanmoins, certains pourraient se dire que, sur la base de l’autre entité qui a signalé la faille de sécurité (Coinbase Security), nous pouvons supposer que cette faille de sécurité était exploitée lors d'attaques visant les propriétaires de crypto-monnaies.
Pour obtenir la toute dernière version de Firefox, ouvrez le navigateur et cliquez sur le point d’interrogation dans la barre de menu. Sélectionnez la ligne « À propos de Firefox » et lancez le téléchargement si jamais il ne démarre pas automatiquement. Redémarrez le logiciel pour finaliser l’installation. Il est peut-être possible que la version 67.0.3 se soit automatiquement installée au démarrage de Firefox.
Source : Mozilla
Et vous ?
Utilisez-vous Firefox ?
Voir aussi :
Répondre avec citation
Partager