C'est une mise à jour surprise qu'a mis en ligne jeudi la Fondation Mozilla. Pas de poisson d'avril si ce n'est peut-être un pied de nez à tous les éditeurs concurrents, histoire de démontrer que plus que le décompte du nombre de vulnérabilités de sécurité, c'est bien la vitesse à les corriger qui prime.
Il n'y avait pourtant pas véritablement urgence car l'unique faille que comble Firefox 3.6.3 a été dévoilée à l'occasion du récent concours de hacking Pwn2Own. De fait, pas de divulgation publique et seul Mozilla a eu connaissance des tenants et des aboutissants de ce trou de sécurité. Mais enfin, cela fait bonne figure.
On apprend donc que la faille critique aujourd'hui corrigée et qui a été exploitée sous Windows 7 par le dénommé Nils de MWR InfoSecurity, est de type corruption de mémoire avec pour conséquence l'exécution de code arbitraire.
" En déplaçant des nœuds du DOM entre documents, Nils a trouvé un cas où le nœud déplacé conserve de manière incorrecte son ancien champ d'application. Si le garbage collector ( ndlr : supprime toutes les variables qui font référence à un nœud ) est déclenché à un certain moment, alors Firefox pourrait plus tard utiliser l'objet libéré "
, explique Mozilla.
L'exploit utilisé par Nils affecte uniquement Firefox 3.6 et pas les versions antérieures. Néanmoins, Firefox 3.5 ( le support de Firefox 3.0 a pris fin ) va prochainement bénéficier d'une version de maintenance, dans la mesure où une méthode alternative pour y déclencher le bug pourrait être élaborée.
Dans le cadre du concours Pwn2Own, des vulnérabilités affectant Internet Explorer 8 et Safari 4 ont également été mises au jour. Ces dernières n'ont pas été corrigées que ce soit par la mise à jour cumulative d'IE ou via la mise à jour 10.6.3 de Mac OS X que Microsoft et Apple ont publié cette semaine. Rappelons que Google Chrome 4 n'a pas eu à subir des assauts lors du concours.
À défaut d'avoir recours au mécanisme interne de mise à jour de Firefox, la version 3.6.3 peut être téléchargée depuis cette page pour la langue et le système d'exploitation de son choix. Récemment, Mozilla a indiqué que Firefox comptait plus de 350 millions d'utilisateurs à travers le monde pour une part de marché de l'ordre de 30 %.