Firefox également rustiné d'une faille 0-day, mettez à jour !

Ironie du sort, alors que nous rapportions une faille bien embarrassante touchant Safari, le navigateur d’Apple, voilà qu’une nouvelle vulnérabilité fait parler d’elle, qui touche un de ses concurrents : Firefox. Triste semaine pour le panda roux, qui s’était déjà fait dépasser en termes de nombre d’utilisateurs par Edge il y a deux jours.

Pourtant, il y avait de la protection...

Pour le moment, la firme n’a pas communiqué beaucoup de détails, si ce n’est qu’il existe en fait deux vulnérabilités : CVE-2020-6819 et CVE-2020-6820, — actuellement sans détails techniques dans la base —, toutes deux concernant un use-after-free, respectivement lors de la destruction de certaines données liées à la fermeture d’une page web (destructeur de la classe nsDocShell) et lors de la manipulation de flux de données (utilisation de ReadableStream). Concrètement, dans certains cas, le navigateur peut aller lire des données dans une zone mémoire qu’il a précédemment libérée et qui, par conséquent, ne lui appartient plus. De coup, il devient parfois possible d’abuser le navigateur, par exemple en mettant à la place du code JavaScript permettant de gagner des droits d’exécution arbitraire de code... Cela dépend de l’endroit où se situe la faille. Parfois, l’accès se limite à la corruption d’icône, de part de la page web et autres bugs mineurs ; sauf que, dans notre cas, Mozilla est au courant que des exploitations ont été effectuées, quelque part, sur le net.

Bien que nous n’en savons pas plus sur la méthode exacte de l’abus, la maison-mère considère ces failles comme « critiques », de vous donner la chair de poule. Face à cela, une seule solution : la mise à jour illico ! Si vous êtes sur une version antérieure ou égale à la 74.0, sortez le modem, il faudra passer à la 74.0.1, ou mieux, la 75.0 qui vient tout juste de sortir. Pour la version ESR (Extended Support Release), c’est vers la 68.6.1 qu’il faudra évoluer, et, finalement, pour le Tor Browser, également basé sur Firefox, rendez-vous sur la 9.0.8 ! (Source : Naked Security)