La fondation Mozilla a distribué mercredi une mise à jour de Firefox motivée par la découverte d'une faille de sécurité déjà en exploitation (0-day) et qualifiée de critique : CVE-2024-9680.
Détectée par Damien Schaeffer d'ESET, la faille profite d'un défaut du composant Animation timelines de Firefox, qui permet une exploitation use-after-free (utilisation d'un pointeur après libération) et donc l'exécution de code à distance.
Selon votre installation, la mise à jour du navigateur a déjà pu être réalisée en arrière-plan. Les versions patchées sont la 131.0.2 pour le canal grand public, ainsi que les 115.16.1 et 128.3.1 pour Firefox ESR.
Commentaires (8)
#1
#1.1
#1.2
#1.3
Les "use after free" sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but du code unsafe étant évidement d'être réduit au minimum pour limiter les risques.
Historique des modifications :
Posté le 10/10/2024 à 20h15
Bien que Firefox soit une des applications existantes qui contient le plus de Rust, il contient toujours pour le moment plus de code en C++ qu'en Rust. Les use after free sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but étant de réduire évidement ce code au minimum pour limiter les risques.
Posté le 10/10/2024 à 20h16
Bien que Firefox soit une des applications existantes qui contient le plus de Rust, il contient toujours pour le moment plus de code en C++ qu'en Rust.
Les "use after free" sont normalement impossibles en Rust, sauf à mal utiliser du code "unsafe". Le but du code unsafe étant évidement d'être réduit au minimum pour limiter les risques.
#2
#2.1
#3
Plus d'infos sur ce lien
#3.1
C’est également le cas sur le build fait par F-Droid.
Concernant Mull (un fork de Fennec), le build de F-Droid est aussi bloqué en 129.0.2.
Le build de DIvestOS via son dépôt F-Droid de Mull est en 131.0.2 actuellement, je viens de passer là dessus sur mon téléphone.