Mozilla sort un correctif pour une vulnérabilité zéro-day touchant Firefox

Mozilla a déployé une nouvelle version de son navigateur Web Firefox pour remédier à une vulnérabilité zero-day critique qui a été utilisée de manière abusive pour des attaques ciblées.

Les détails sur la faille et son exploitation sont cependant assez rares. Ce que l'on sait peu, selon l'avis de sécurité publié par Mozilla mercredi, c'est qu'il s'agit d'une erreur de type confusion qui réside dans IonMonkey, le compilateur juste à temps (JIT) du moteur JavaScript SpiderMonkey du navigateur.

Un avertissement publié par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis souligne que cette faille pourrait être exploitée pour prendre le contrôle d'un système affecté.

Selon le communiqué publié, Mozilla affirme être « consciente des attaques ciblées dans la nature [ndlt: traduction de « in the wild »] abusant de cette faille ». La vulnérabilité est suivie sous le numéro CVE-2019-17026 et affecte à la fois Firefox et Firefox ESR, ce dernier étant utilisé par de grandes organisations.

Les nouvelles versions du navigateur - Firefox 72.0.1 et Firefox ESR 68.4.1 - sont disponibles pour toutes les plateformes de bureau supportées : Windows, macOS et Linux. Il va sans dire qu'il est recommandé aux utilisateurs de ne pas perdre de temps à appliquer la mise à jour. Les correctifs peuvent être mis en œuvre en allant dans le menu Firefox et en cliquant sur Aide et ensuite sur A propos de Firefox. Selon Statcounter, Firefox représente 9 % des parts de marché des navigateurs de bureau.

Les mises à jour sont arrivées un jour seulement après que Mozilla ait sorti Firefox 72.0 et Firefox ESR 68.4, qui comprenaient eux-mêmes des correctifs pour plusieurs failles de sécurité, bien que de moindre gravité.

En juin dernier, Mozilla a apporté des correctifs à deux vulnérabilités 0 days, à deux jours d'intervalle. D'autres navigateurs Web, notamment Chrome et Internet Explorer, ont également reçu des correctifs d'urgence pour les jours zéro au cours des derniers mois.

Il y a quelques années, les chercheurs d'ESET ont documenté comment un zero-day affectant alors Firefox était abusé par les acteurs de la menace.