Page 1 sur 1

Firefox : Mozilla corrige deux failles critiques activement

MessagePosté: 07 Mar 2022 20:48
de dd2024
Les personnes qui utilisent Firefox comme l'un de leurs navigateurs devraient le mettre à jour maintenant qu'il a obtenu des correctifs pour deux failles critiques qui sont exploitées.

Mozilla vient de publier Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pour Android 97.3.0 et Focus 97.3.0 avec les correctifs de sécurité. Les bugs sont également corrigés dans Thunderbird 91.6.2. Les deux CVE-2022-26485 et CVE-2022-26486 sont des failles critiques liées à la mémoire de type "use-after-free". CVE-2022-26486 pourrait également conduire à une évasion de sandbox exploitable, selon Mozilla.

"La suppression d'un paramètre XSLT pendant le traitement aurait pu conduire à un use-after-free exploitable. Nous avons eu des rapports d'attaques dans la nature abusant de cette faille ", explique Mozilla. "Un message inattendu dans le framework WebGPU IPC aurait pu conduire à un use-after-free et à un échappement de sandbox exploitable. Nous avons eu des rapports d'attaques dans la nature abusant de cette faille."

Mozilla bon élève dans l'analyse du Google Project Zero

WebGPU est une spécification de navigateur pour diverses interfaces qui permettent à une page Web d'utiliser le GPU d'un système pour des graphiques améliorés.

Mozilla n'a pas publié de détails supplémentaires, mais attribue les rapports de bogue aux chercheurs de la société de sécurité chinoise Qihoo 360 ATA, Wang Gang, Liu Jialei, Du Sihang, Huang Yi et Yang Kang.

Bien que le nombre d'utilisateurs de Firefox soit en baisse, Mozilla a obtenu d'assez bons résultats dans l'analyse du Google Project Zero sur la rapidité avec laquelle les fournisseurs de logiciels ont corrigé les bogues. Mozilla a corrigé neuf des dix bogues affectant son logiciel dans les 90 jours suivant le rapport initial. Il lui a également fallu en moyenne 46 jours pour corriger les bogues, contre 44 jours pour Google, 69 jours pour Apple et 83 jours pour Microsoft.

En ce qui concerne les navigateurs, Chrome est le plus rapide et, avec 40 bogues corrigés, le délai moyen de correction est de 5,3 jours. WebKit présente 27 bogues et un temps moyen de correction de 11,6 jours, tandis que Firefox présente huit bogues et un temps moyen de correction de 16,6 jours.

:info: https://www.zdnet.fr/actualites/firefox ... 938487.htm