Mozilla corrige en urgence une faille critique 0-day dans Firefox
Le 19 juin 2019 à 09h47
1 min
Logiciel
Logiciel
Mozilla vient de mettre à jour toutes les versions supportées de Firefox pour corriger une faille critique 0-day.
Rapportée à l’éditeur par le chercheur Samuel Groß pour le compte du Google Project Zero, la brèche peut permettre à un pirate d’exécuter à distance un code arbitraire, pouvant mener à une prise totale de contrôle. Soit le pire des scénarios.
Estampillée CVE-2019-11707, la vulnérabilité peut affecter tout utilisateur de Firefox sur ordinateur, donc sous Linux, macOS ou Windows. Elle réside dans la manière dont Firefox manipule des objets JavaScript à cause d’un problème dans Array.pop, le navigateur souffrant d’une « confusion de types ». Aucun détail supplémentaire ni prototype d’exploitation n’a encore été révélé.
Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.
Le 19 juin 2019 à 09h47
Commentaires (12)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19/06/2019 à 11h27
Aucun prototype d’exploitation mais déjà exploitée ? :-)
Comment savent ils qu’elle est exploitée ?
Le 19/06/2019 à 12h11
Le 19/06/2019 à 12h37
C’est la définition d’une faille zéro day.
Le 19/06/2019 à 12h46
Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.
Le 19/06/2019 à 12h57
C’est “0-day” tant que personne ne prouve le contraire en fait…
Le 19/06/2019 à 16h20
J’imagine que si on désactive Javascript cette faille n’est pas un problème?
Je pense aux utilisateurs (trices) de TorBrowser.
Le 19/06/2019 à 16h23
Non, c’est plutôt l’inverse : une faille n’est normalement pas considérée zéro day, à moins qu’on ait détecté une utilisation de la faille par un tiers.
Sinon quasiment toutes les failles seraient 0 day, vu qu’il est généralement impossible de prouver qu’une faille n’a pas été utilisée.
Le 19/06/2019 à 16h55
Bah ils sont peut-être simplement tombé sur un méchant site qui l’exploitait.
“Aucun prototype d’exploitation n’a encore été révélé”, ça ne veut pas dire qu’il n’en existe aucun…
Le 19/06/2019 à 17h40
Le 19/06/2019 à 21h55
Le 19/06/2019 à 22h58
On peut lire dans le Security Advisory mis en lien : We are aware of targeted attacks in the wild abusing this flaw.
Donc, non, la phrase n’est pas une généralité mais s’applique à cette faille.
Le 20/06/2019 à 20h15
C’est même un des premiers conseils à suivre quand on veut aller sur le DarkWeb…
Attention aux VPN, qui parfois vous déconnectent et passent en mode transparent sans prévenir…