Mozilla publie une mise à jour 67.0.3 de son navigateur Firefox (et Firefox ESR 60.7.1) afin de corriger une vulnérabilité de sécurité critique faisant l'objet d'une exploitation dans des attaques. C'est ainsi un patch en urgence - ou publication hors cycle - qui n'entre pas dans le cadre habituel des mises à jour de Firefox.
La vulnérabilité en question n'est pas détaillée à ce stade. Référencée CVE-2019-11707, sa découverte en tant que 0-day est attribuée à un chercheur en sécurité de Project Zero de Google et Coinbase Security.
Il est donc fait mention d'exploits dans la nature, avec la possibilité pour un attaquant de prendre le contrôle d'un système affecté. Dans un court descriptif, Mozilla évoque une vulnérabilité de confusion de type pouvant se produire lors de la manipulation d'objets JavaScript en raison de problèmes liés à Array.pop.
Ce genre de vulnérabilité est à mettre en relation avec le traitement d'un objet sans la vérification idoine de son type. Pour Array.pop, c'est une méthode pour supprimer et retourner le dernier élément d'un tableau.
Dans la mesure où l'équipe Coinbase Security est citée pour le signalement de la vulnérabilité de sécurité, on peut supposer que des attaques exploitant la faille sont en rapport avec des détenteurs de cryptomonnaies.
