Firefox à patcher en urgence

Le par  |  9 commentaire(s)
firefox-logo

À cause d'une vulnérabilité critique exploitée dans la nature, le navigateur Firefox est à mettre à jour sans tarder.

Mozilla publie une mise à jour 67.0.3 de son navigateur Firefox (et Firefox ESR 60.7.1) afin de corriger une vulnérabilité de sécurité critique faisant l'objet d'une exploitation dans des attaques. C'est ainsi un patch en urgence - ou publication hors cycle - qui n'entre pas dans le cadre habituel des mises à jour de Firefox.

La vulnérabilité en question n'est pas détaillée à ce stade. Référencée CVE-2019-11707, sa découverte en tant que 0-day est attribuée à un chercheur en sécurité de Project Zero de Google et Coinbase Security.

Firefox-nouvelle-identite-visuelle

Il est donc fait mention d'exploits dans la nature, avec la possibilité pour un attaquant de prendre le contrôle d'un système affecté. Dans un court descriptif, Mozilla évoque une vulnérabilité de confusion de type pouvant se produire lors de la manipulation d'objets JavaScript en raison de problèmes liés à Array.pop.

Ce genre de vulnérabilité est à mettre en relation avec le traitement d'un objet sans la vérification idoine de son type. Pour Array.pop, c'est une méthode pour supprimer et retourner le dernier élément d'un tableau.

Dans la mesure où l'équipe Coinbase Security est citée pour le signalement de la vulnérabilité de sécurité, on peut supposer que des attaques exploitant la faille sont en rapport avec des détenteurs de cryptomonnaies.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2068192
Mon Firefox étant cantonné dans sa sandbox Firejail, je me demande si c'est possible sur ma machine.
C'est relativement restrictif, si bien que même Firefox ne peut pas se mettre à jour de manière automatique ou via l'interface.
Le #2068206
Une faille qui n'a pas été exploitée est un événement sans répercussion. On patche et on passe à autre chose!
lepingouinenfoliedestroyer Hors ligne VIP 6142 points
Le #2068212
Ça vaut une news : le générateur de mot de passe Lockwise, anciennement Lockbox arrive avec la version 69.
Le #2068220
Narcos a écrit :

Une faille qui n'a pas été exploitée est un événement sans répercussion. On patche et on passe à autre chose!


Le petit souci c'est qu'elle semble déjà exploitée (désolé pour la source externe : https://m.nextinpact.com/brief/mozilla-corrige-en-urgence-une-faille-critique-0-day-dans-firefox-9087.htm)
Donc bon... C'est sûrement sans conséquence pour l'utilisateur moyen mais la màj rapide s'impose tout de même...
Le #2068221
Exploitée dans la nature ? Je comprends pourquoi j'ai surpris mon chat qui cherchait à infiltrer un site web canin via FF.

Tout s'explique...
Le #2068228
Kiriito a écrit :

Narcos a écrit :

Une faille qui n'a pas été exploitée est un événement sans répercussion. On patche et on passe à autre chose!


Le petit souci c'est qu'elle semble déjà exploitée (désolé pour la source externe : https://m.nextinpact.com/brief/mozilla-corrige-en-urgence-une-faille-critique-0-day-dans-firefox-9087.htm)
Donc bon... C'est sûrement sans conséquence pour l'utilisateur moyen mais la màj rapide s'impose tout de même...


en EMERGENCY le patch !! c'est sur, et c'est fait pour ça !


''L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.''

on reste sur notre faim....l'article se terminant par cette phrase.

Bonne journée Kirito
Le #2068247
Après le risque réel c'est quand on va sur des sites un peu chelous...
Le #2068271
kerlutinoec a écrit :

Après le risque réel c'est quand on va sur des sites un peu chelous...


Vas y...lache toi, je sens que tu n'as pas tout dis......!!!!!!!!!

Le #2068338
lepingouinenfoliedestroyer a écrit :

Ça vaut une news : le générateur de mot de passe Lockwise, anciennement Lockbox arrive avec la version 69.


Nightly est en version 69. Très agréable cette version je trouve.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme