firefox 67.0.4

Firefox 67.0.4 – Nouvelle faille 0-day patchée

Après avoir patché une vulnérabilité critique dans Firefox 67.0.3, Mozilla a sorti Firefox 67.0.4 pour patcher une seconde vulnérabilité 0-day que les hackers exploitent activement.

Cette nouvelle faille (CVE-2019-11708) est une vulnérabilité “d’évasion de sandbox”. Quand on la combine avec avec le précédent bug (CVE-2019-11707), cela permet à un hacker distant d’exécuter du code arbitraire sur les machines des victimes simplement en les poussant à visiter un site web malveillant.

L’utilisation de sandbox dans les navigateurs est un mécanisme de sécurité qui isole les processus tiers dans le navigateur, les empêchant d’endommager d’autres parties sensibles du système d’exploitation de l’ordinateur.

“La vérification insuffisante des paramètres passés avec le message Prompt:Open IPC entre processus enfant et parent crée une situation où le processus parent non-sandboxé ouvre du contenu web choisi par un processus enfant compromis,” explique le rapport.

Les 0-days exploités activement

Mozilla est conscient du premier problème depuis Avril quand un chercheur de Google Project Zero leur a signalé, mais ils ont découvert le second problème la semaine dernière quand des hackers ont commencé à exploiter les deux failles ensemble pour cibler les employés de la plateforme Coinbase et les utilisateurs d’autres firmes de cryptomonnaies.

L’expert en sécurité, Patrick Wardle, a aussi publié un rapport révélant qu’une autre campagne contre les utilisateurs de cryptomonnaie utilisait les même 0-days pour installer un malware macOS sur les ordinateurs ciblés.

Installer les patches de Firefox 67.0.4 pour prévenir les cyberattaques

La compagnie a distribué Firefox 67.0.4 et ESR 60.7.2 pour patcher ces problèmes.

Bien que Firefox installe les mises à jour automatiquement, il est conseillé de vérifier que vous utilisez Firefox 67.0.4 ou une version plus récente.

Mise à jour Importante (21/06/2019) ➤ Le Projet Tor a aussi publié une seconde mise à jour (Tor Browser 8.5.3) qui patch la seconde vulnérabilité patchée par Firefox.

Leave a Reply