Abonnez-vous Connexion

Abonnez-vous

Nous suivre

À propos

Next, média indépendant, est soutenu par la société moji.

Elle lui assure une pérennité économique et lui permet de maintenir sa totale liberté éditoriale, d'expérimenter de nouvelles formes d'information et de garantir sa survie à long terme, sans dépendre d'annonceurs externes.

Mises à jour pour Firefox, en raison d’une faille de sécurité critique

Par Alexandre Laurent

Le 10 octobre à 15h48

1 min

La fondation Mozilla a distribué mercredi une mise à jour de Firefox motivée par la découverte d'une faille de sécurité déjà en exploitation (0-day) et qualifiée de critique : CVE-2024-9680.

Détectée par Damien Schaeffer d'ESET, la faille profite d'un défaut du composant Animation timelines de Firefox, qui permet une exploitation use-after-free (utilisation d'un pointeur après libération) et donc l'exécution de code à distance.

Selon votre installation, la mise à jour du navigateur a déjà pu être réalisée en arrière-plan. Les versions patchées sont la 131.0.2 pour le canal grand public, ainsi que les 115.16.1 et 128.3.1 pour Firefox ESR.

Dans un an, fin de route pour Windows 10

Apple renouvelle son iPad mini sans se fouler

Chrome prévient qu’uBlock Origin et d’autres extensions ne seront bientôt plus compatibles

Adobe Firefly Video : un modèle entrainé en respectant les licences des contenus utilisés

STCL : les lecteurs de plaque d’immatriculation ont maintenant leur fichier central

Atos aura bientôt un nouveau PDG, Philippe Salle

Windows 11 24H2 a du mal à supprimer les fichiers d’installation de la mise à jour

Clés d’accès : l’Alliance FIDO propose un nouveau standard pour l’échange sécurisé d’identifiants

[T@LC] On a acheté des clés Windows 11 Pro à 0,02 euro (enfin, on pensait)

Spotify lance ses livres audio en France, mieux vaut ne pas être trop gourmand

Commentaires (8)

wanou Abonné

Le 10/10/2024 à 16h37

Encore un bout de code à réécrire en rust

Le 10/10/2024 à 19h00

#1.1

Ou bien rust ne sauve pas de grand chose!

wanou Abonné

Le 10/10/2024 à 19h13

#1.2

Ou bien rust ne sauve pas de grand chose!

Il me semble bien que la réutilisation d'un pointeur ne soit tout simplement pas possible en rust: cela ne compilera même pas.

Uther Abonné

Le 10/10/2024 à 20h15

#1.3

Ou bien rust ne sauve pas de grand chose!

Bien que Firefox soit une des applications existantes qui contient le plus de Rust, il contient toujours pour le moment plus de code en C++ qu'en Rust.

Les "use after free" sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but du code unsafe étant évidement d'être réduit au minimum pour limiter les risques.

Modifié le 10/10/2024 à 20h17

Historique des modifications :

Posté le 10/10/2024 à 20h15

Bien que Firefox soit une des applications existantes qui contient le plus de Rust, il contient toujours pour le moment plus de code en C++ qu'en Rust. Les use after free sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but étant de réduire évidement ce code au minimum pour limiter les risques.

Posté le 10/10/2024 à 20h16

eliumnick

Le 10/10/2024 à 18h42

Pour ceux qui, comme moi, ne le savent pas, le compostant Animation timelines est utilisé pour le rendu CSS.

jb07 Abonné

Le 10/10/2024 à 21h37

#2.1

Effectivement, c'était loin d'être évident et ça aurait mérité d'être inclus dans l'article. Merci !

Gorom Abonné

Le 10/10/2024 à 21h20

Attention pour les personnes qui utilisent Fennec, c'est bloqué pour le moment à la version 129.0.2
Plus d'infos sur ce lien

Case_Of Abonné

Le 10/10/2024 à 23h00

#3.1

Effectivement, je n’avais pas fait attention,
C’est également le cas sur le build fait par F-Droid.
Concernant Mull (un fork de Fennec), le build de F-Droid est aussi bloqué en 129.0.2.
Le build de DIvestOS via son dépôt F-Droid de Mull est en 131.0.2 actuellement, je viens de passer là dessus sur mon téléphone.

Fermer

❮

❯