Mozilla corrige une faille zero day dans Firefox 131
Posté: 10 Oct 2024 13:31Mozilla corrige une faille zero day dans Firefox, mettez vite votre navigateur à jour !
À peine repérée, immédiatement patchée, la vulnérabilité est activement exploitée sur les versions classiques et ESR de Firefox.
Fait assez rare pour être mentionné, Mozilla vient tout juste de confirmer la présence d’une faille zero day dans Firefox. Estampillée CVE-2024-9680, identifiée comme critique, elle permet aux cyberattaquants d’exécuter du code à distance sur les ordinateurs des internautes. La fondation a déjà déployé un patch et conseille à l’ensemble de ses utilisateurs et utilisatrices de mettre leur navigateur web à jour le plus rapidement possible.
Trous de mémoires et injection de code malveillant
La vulnérabilité a d’abord été repérée par Damian Schaeffer, chercheur en sécurité chez Eset, avant que Mozilla ne communique officiellement dessus. Dans le détail, il s’agit d’une faille de type « use-after-free » dans le composant « Animation timelines » de Firefox 131.0.1, Firefox ESR 128.3.0 et Firefox ESR 115.16.0.
À titre d’information, Animation timelines est élément intégré à l’API Animations Web du navigateur, en charge, comme son nom l’indique, de gérer et synchroniser les animations sur les pages web. Dans ce cas, la vulnérabilité se produit lorsque la mémoire qui a été libérée est toujours utilisé par le programme, autorisant les hackers à y injecter leurs propres données malveillantes.
Alertée et réactive, Mozilla a rapidement confirmé la découverte, et déployé des correctifs de sécurité pour les différentes versions de Firefox affectées. Elle a également signalé que la vulnérabilité était activement exploitée, sans donner plus de détail concernant les types de cyberattaques orchestrées et la manière dont elles sont menées. À noter que le NIST, organisme de référence en charge de l'analyse et de la divulgation d'informations complètes sur les CVE, n’a pas encore documenté CVE-2024-9680 non plus.
Une mise à jour d'urgence s'impose
Dans tous les cas, il est vivement conseillé de mettre à jour votre navigateur vers les versions les plus récentes de Firefox, à savoir 130.0.2, ESR 128.3.1 et ESR 115.16.1. En théorie, il vous suffit de vous rendre dans les Paramètres > Aide > À propos de Firefox. Le navigateur devrait télécharger automatiquement la mise à jour de sécurité et vous inviter à redémarrer Firefox pour appliquer le patch.
Considéré comme l'un des navigateurs les mieux sécurisés, Firefox est assez peu sujet aux failles zero day. Pour rappel, il s’agit de la seconde vulnérabilité de ce type depuis le début de l’année. En comparaison, Chrome en a déjà corrigé une dizaine en dix mois.
Source : https://www.clubic.com/actualite-540137 ... -jour.html
À peine repérée, immédiatement patchée, la vulnérabilité est activement exploitée sur les versions classiques et ESR de Firefox.
Fait assez rare pour être mentionné, Mozilla vient tout juste de confirmer la présence d’une faille zero day dans Firefox. Estampillée CVE-2024-9680, identifiée comme critique, elle permet aux cyberattaquants d’exécuter du code à distance sur les ordinateurs des internautes. La fondation a déjà déployé un patch et conseille à l’ensemble de ses utilisateurs et utilisatrices de mettre leur navigateur web à jour le plus rapidement possible.
Trous de mémoires et injection de code malveillant
La vulnérabilité a d’abord été repérée par Damian Schaeffer, chercheur en sécurité chez Eset, avant que Mozilla ne communique officiellement dessus. Dans le détail, il s’agit d’une faille de type « use-after-free » dans le composant « Animation timelines » de Firefox 131.0.1, Firefox ESR 128.3.0 et Firefox ESR 115.16.0.
À titre d’information, Animation timelines est élément intégré à l’API Animations Web du navigateur, en charge, comme son nom l’indique, de gérer et synchroniser les animations sur les pages web. Dans ce cas, la vulnérabilité se produit lorsque la mémoire qui a été libérée est toujours utilisé par le programme, autorisant les hackers à y injecter leurs propres données malveillantes.
Alertée et réactive, Mozilla a rapidement confirmé la découverte, et déployé des correctifs de sécurité pour les différentes versions de Firefox affectées. Elle a également signalé que la vulnérabilité était activement exploitée, sans donner plus de détail concernant les types de cyberattaques orchestrées et la manière dont elles sont menées. À noter que le NIST, organisme de référence en charge de l'analyse et de la divulgation d'informations complètes sur les CVE, n’a pas encore documenté CVE-2024-9680 non plus.
Une mise à jour d'urgence s'impose
Dans tous les cas, il est vivement conseillé de mettre à jour votre navigateur vers les versions les plus récentes de Firefox, à savoir 130.0.2, ESR 128.3.1 et ESR 115.16.1. En théorie, il vous suffit de vous rendre dans les Paramètres > Aide > À propos de Firefox. Le navigateur devrait télécharger automatiquement la mise à jour de sécurité et vous inviter à redémarrer Firefox pour appliquer le patch.
Considéré comme l'un des navigateurs les mieux sécurisés, Firefox est assez peu sujet aux failles zero day. Pour rappel, il s’agit de la seconde vulnérabilité de ce type depuis le début de l’année. En comparaison, Chrome en a déjà corrigé une dizaine en dix mois.
Source : https://www.clubic.com/actualite-540137 ... -jour.html