Firefox 72.0.1, une nouvelle faille critique a été patchée

Mozilla a distribué Firefox 72.0.1 et Firefox ESR 68.4.1 pour patcher une vulnérabilité 0-day critique dans le navigateur. Cette faille était activement exploitée par un groupe de hackers.

Identifié en tant que CVE-2019-17026, le bug est une “vulnérabilité de type confusion” critique qui se trouve dans le compilateur IonMonkey just-in-time (JIT) du moteur Javascript SpiderMonkey de Mozilla.

Dans la plupart des cas, une vulnérabilité de type confusion se produit quand le code ne vérifie pas les objets et les utilise sans vérifier leur type, cela permet aux hackers de crasher l’application ou d’accomplir une exécution de code.

firefox

Sans révéler de détails à propos de la faille de sécurité et d’autres informations concernant les cyberattaques en cours, Mozilla a déclaré, “les informations incorrectes d’alias dans le compilateur IonMonkey JIT pour mettre en place les éléments tableaux pourrait mener à une confusion de type.”

Cela veut dire que le problème dans le composant moteur Javascript peut être exploité par un pirate distant juste en poussant l’utilisateur à visiter une page web malveillante pour exécuter du code arbitraire sur le système dans le contexte de l’application.

La vulnérabilité a été signalé à Mozilla par les chercheurs en sécurité informatique de Qihoo 360 ATA. Les chercheurs ont aussi décidé de ne pas partagé de détails de leur trouvaille pour le moment.

Mettez votre navigateur Firefox à jour

Firefox est sensé se mettre à jour automatiquement dès que les mises à jour sont disponibles et la nouvelle version est activée après le redémarrage de l’application. Assurez vous quand même que vous avez la dernière version en allant dans Menu > Aide > A propos de Firefox .

Si cet article vous a plu, jetez un œil à notre article précédent.