Firefox: Des failles étaient exploitées par des pirates

Mozilla a patché deux vulnérabilités zéro-day du navigateur Firefox qui étaient exploitées par des pirates. Les failles de sécurité sont 2 bugs use-after-free, selon un avis de sécurité de la Fondation Mozilla.

Les deux bugs sont considérés comme étant critiques et permettent à des pirates distants d’exécuter du code arbitraire ou de déclencher des plantages sur les machines exécutant des versions de Firefox antérieures à la version 74.0.1 (et antérieure à 68.6.1 pour la version professionnelle). Les bugs affectent les versions du navigateur Firefox sur les systèmes d’exploitation Windows, macOS et Linux. Les détails sont rares sur la façon dont les failles (CVE-2020-6819 et CVE-2020-6820) sont spécifiquement exploitées par les pirates informatiques.

firefox 73

Identifié comme CVE-2020-6819, le premier bug est une vulnérabilité use-after-free liée au composant «nsDocShell destructor» du navigateur. Firefox nsDocShell est un client de l’API nsI-HttpChannel, une fonction du navigateur liée à la lecture des en-têtes HTTP.

La deuxième vulnérabilité, identifiée comme CVE-2020-6820, est également un bug use-after-free exploité par des pirates informatiques. Dans ce deuxième cas, les pirates ciblent le composant ReadableStream du navigateur Firefox,ce composant est une interface de l’API Streams. L’API Streams est «responsable de la décomposition d’une ressource que vous souhaitez recevoir sur un réseau en petits morceaux», selon Mozilla.

firefox

Ces failles de sécurité ont été signalés par les chercheurs en sécurité Francisco Alonso et Javier Marcos de JMP Security.

«Il y a encore beaucoup de travail à faire et plus de détails à publier (y compris d’autres navigateurs). Restez à l’écoute », a tweeté Alonso.

«Une exploitation réussie de la plus grave de ces vulnérabilités pourrait permettre l’exécution de code arbitraire», selon un bulletin du Center for Internet Security. «Selon les privilèges associés à l’utilisateur, un pirate informatique pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins touchés que ceux qui fonctionnent avec des droits d’utilisateur administratifs. »

Comment se protéger contre ces failles de Firefox?

Des patchs de sécurité sont disponibles pour plusieurs versions du navigateur, notamment: la version Firefox 74.0.1 pour Windows 64 bits, 74.0.1 pour Windows 32 bits, 74.0.1 pour macOS, 74.0.1 pour Linux 64 bits et 74.0.1 pour Linux 32 bits.

Si cet article vous a plu, jetez un œil à notre article précédent.