La fondation Mozilla a distribué mercredi une mise à jour de Firefox motivée par la découverte d'une faille de sécurité déjà en exploitation (0-day) et qualifiée de critique : CVE-2024-9680.
Détectée par Damien Schaeffer d'ESET, la faille profite d'un défaut du composant Animation timelines de Firefox, qui permet une exploitation use-after-free (utilisation d'un pointeur après libération) et donc l'exécution de code à distance.
Selon votre installation, la mise à jour du navigateur a déjà pu être réalisée en arrière-plan. Les versions patchées sont la 131.0.2 pour le canal grand public, ainsi que les 115.16.1 et 128.3.1 pour Firefox ESR.
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/10/2024 à 16h37
Le 10/10/2024 à 19h00
Le 10/10/2024 à 19h13
Modifié le 10/10/2024 à 20h17
Les "use after free" sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but du code unsafe étant évidement d'être réduit au minimum pour limiter les risques.
Le 10/10/2024 à 18h42
Le 10/10/2024 à 21h37
Le 10/10/2024 à 21h20
Plus d'infos sur ce lien
Le 10/10/2024 à 23h00
C’est également le cas sur le build fait par F-Droid.
Concernant Mull (un fork de Fennec), le build de F-Droid est aussi bloqué en 129.0.2.
Le build de DIvestOS via son dépôt F-Droid de Mull est en 131.0.2 actuellement, je viens de passer là dessus sur mon téléphone.