Hier, nous annoncions la publication pour le 30 mars 2010 d'une version 3.6.2 de Firefox avec pour objectif la correction d'une vulnérabilité de sécurité critique confirmée la semaine dernière par Mozilla. Petite surprise, cette mouture de maintenance est d'ores et déjà disponible en version finale. Il s'agit d'une sortie anticipée et l'équipe de sécurité de Mozilla souligne l'urgence de procéder à une mise à jour.

Firefox 3.6.2 corrige donc la vulnérabilité découverte il y a un mois par le chercheur russe en sécurité Evgeny Legerov. Selon l'avis de sécurité de Mozilla, le décodeur WOFF contient un dépassement d'entier dans une routine de décompression d'une fonte de caractères. Un attaquant peut exploiter cette vulnérabilité pour faire planter le navigateur d'un utilisateur et exécuter un code arbitraire.

Le support de Web Open Font Format est une nouveauté de Firefox 3.6. Les versions antérieures ne sont donc pas touchées par la vulnérabilité. Le format WOFF est compressé ce qui permet un téléchargement des fontes plus rapide. Par ailleurs, il prend en charge les tags et métadonnées.

À l'instar de la fameuse faille d'IE6 qui avait servi de vecteur dans les cyberattaques attribuées à la Chine contre Google, le Bürger-CERT ( CERT allemand ) a conseillé de se tourner vers un navigateur alternatif à Firefox le temps que cette vulnérabilité liée à WOFF soit corrigée. On imagine que cela a dû peser dans la balance pour Mozilla.

Firefox 3.6.2 corrige également des problèmes de stabilité. Cette version de maintenance est à télécharger depuis cette page pour la langue et le système d'exploitation de son choix. La mise à jour peut être sollicitée via le menu Aide.