Firefox 67.0.4 – Nouvelle vulnérabilité 0-day patchée

Après avoir patché une vulnérabilité critique dans Firefox 67.0.3, Mozilla a sorti Firefox 67.0.4 pour patcher une seconde vulnérabilité 0-day que les hackers exploitent activement.

Cette nouvelle faille (CVE-2019-11708) est une vulnérabilité “d’évasion de sandbox”. Quand on la combine avec le précédent bug (CVE-2019-11707), cela permet à un hacker d’exécuter du code arbitraire à distance sur les machines des victimes simplement en les poussant à visiter un site web malveillant.

mozilla firefox

L’utilisation de sandbox dans les navigateurs web est un mécanisme de sécurité qui isole les processus tiers dans le navigateur, les empêchant d’endommager d’autres parties sensibles du système d’exploitation de l’ordinateur.

“La vérification insuffisante des paramètres passés avec le message Prompt:Open IPC entre processus enfant et parent crée une situation où le processus parent non-sandboxé ouvre du contenu web choisi par un processus enfant compromis,” explique le rapport.

Les failles 0-days exploitées activement

Mozilla est conscient du premier problème depuis Avril. Un chercheur de Google Project Zero les a contacté pour leur signaler la vulnérabilité. Ils ont ensuite découvert le second problème la semaine dernière quand des hackers ont commencé à exploiter les deux failles ensemble pour cibler les employés de la plateforme Coinbase et les utilisateurs d’autres firmes de cryptomonnaies.

firefox

L’expert en sécurité, Patrick Wardle, a aussi publié un rapport révélant qu’une autre campagne contre les utilisateurs de cryptomonnaie utilisait les même 0-days pour installer un malware macOS sur les ordinateurs ciblés.

Une vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour zéro ») est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive.

La terminologie « zero day » ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l’importance des dégâts pouvant être occasionnés, et de l’existence d’un exploit, c’est-à-dire d’une technique « exploitant » cette faille afin de conduire des actions indésirables sur le produit concerné.

La qualité de vulnérabilité zero day n’est que transitoire. Une vulnérabilité cesse d’être « zero day » dès qu’elle a été identifiée par la communauté de la sécurité informatique. Celle-ci n’a pas de caractéristiques techniques particulières : elle peut être bénigne ou virulente, être d’application très générale ou au contraire ne s’appliquer qu’à des configurations peu courantes. L’attaque zero day est en général capable de déjouer les protections existantes tant qu’elle n’a pas été identifiée

Installer les patches de Firefox 67.0.4 pour prévenir les cyberattaques

La compagnie a distribué Firefox 67.0.4 et ESR 60.7.2 pour patcher ces failles de sécurité.

Bien que Firefox installe les mises à jour automatiquement, il est conseillé de vérifier manuellement que vous utilisez Firefox 67.0.4 ou une version plus récente du logiciel.

Mise à jour Importante (21/06/2019) ➤ Le Projet Tor a aussi publié une seconde mise à jour (Tor Browser 8.5.3) qui patch la seconde vulnérabilité patchée par Firefox.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x