Firefox 97.0.2 : Mozilla corrige 2 zero-day activement exploitées !

Mozilla a mis en ligne des nouvelles versions de son navigateur Firefox afin de corriger deux failles de sécurité zero-day activement exploitée par les pirates informatiques. En version desktop grand public, Firefox passe en version 97.0.2.

Ces deux vulnérabilités sont de type "Use-after-free", c'est-à-dire qu'elles permettent l'utilisation d'un espace mémoire qui a déjà été nettoyé. En exploitant ce bug, l'attaquant peut faire planter l'application source, mais aussi exécuter des commandes arbitraires sur la machine locale, ce qui est particulièrement dangereux.

Voici les deux vulnérabilités en question :

  • CVE-2022-26485 : cette faille est liée à la suppression d'un paramètre nommé XSLT. Faille de type "Use-after-free".
  • CVE-2022-26486 : cette faille est liée à l'utilisation d'un message inattendu dans le framework IPC de WebGPU. Faille de type "Use-after-free" et qui permet aussi d'échapper à la sandbox.

Puisque ces deux failles de sécurité touchent un navigateur et qu'elles permettent d'exécuter des commandes sur la machine de l'internaute, elles offrent un point d'entrée idéal aux attaquants. L'installation d'un malware en exploitant ces vulnérabilités, est une possibilité. De plus, Mozilla précise dans les deux cas : "Nous avons reçu des rapports d'attaques abusant de cette faille".

Néanmoins, Mozilla ne précise pas comment les hackers ont pu exploiter ces vulnérabilités. Le point d'entrée étant le navigateur, on peut penser qu'il s'agit de sites Internet malveillants, conçus pour exploiter ces vulnérabilités.

Voici les versions à utiliser afin d'être protégé contre ces failles de sécurité :

  • Firefox 97.0.2 pour Windows, Linux et macOS
  • Firefox ESR 91.6.1
  • Firefox for Android 97.3.0
  • Firefox Focus 97.3.0

Vous pouvez mettre à jour sur place votre navigateur ou récupérer les packages d'installation depuis le site officiel. Il est fortement recommandé d'installer ces mises à jour dès que possible si vous utilisez le navigateur Firefox sur vos appareils.

Les bulletins de sécurité publiés par Mozilla sont disponibles ici : Mozilla - Security Advisories

À vos mises à jour !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4090 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.