Avez-vous mis à jour votre navigateur Firefox? Mozilla vient de publier des mises à jour de sécurité corrigeant huit vulnérabilités, dont cinq classés à haut risque. Être protégé contre les attaques, les utilisateurs doivent exécuter Firefox 77.
Si vous n'avez pas redémarré votre navigateur Firefox depuis un certain temps, vous devriez.
8 Des vulnérabilités de Firefox découvertes
Trois des cinq failles à haut risque pourraient permettre l'exécution de code arbitraire. Dans le contexte d'un navigateur Web, cela signifie que le chargement d'une page malveillante pourrait facilement entraîner des infections de logiciels malveillants sur le système.. Heureusement, ces bogues ont été découverts par les propres développeurs de Mozilla.
Les développeurs de Mozilla Tom Tung et Karl Tomlinson ont découvert les bogues CVE-2020-12410 à haut risque, décrit comme des bugs de sécurité de la mémoire corrigés dans Firefox 77 et ESR Firefox 68.9. "Certains de ces bogues ont montré des preuves de corruption de mémoire et nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire,”Mozilla dit.
Suivant sur la liste des bugs les plus dangereux traités dans Firefox 77 est CVE-2020-12406, ou une confusion de type JavaScript avec NativeTypes. Rapporté par Iain Ireland, un développeur Mozilla, le bogue pourrait conduire à l'exécution de code arbitraire. Le bogue est provoqué par une vérification de type manquante lors de la suppression des objets sans boîte, entraînant un crash.
La troisième vulnérabilité découverte en interne est CVE-2020-12411. Les bugs de sécurité de la mémoire ont été découverts par les développeurs de Mozilla par Gijs (il / lui), Randell Jesup qui a signalé des bugs de sécurité mémoire présents dans Firefox 76. Certains de ces bogues ont montré des signes de corruption de la mémoire et les chercheurs de Mozilla présument que «avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire".
CVE-2020-12399 est un autre exemple des cinq vulnérabilités de gravité élevée. Il est décrit comme une attaque temporelle sur les signatures DSA dans la bibliothèque NSS. Le bogue a été signalé par Cesar Pereida Garcia et le groupe Sécurité des réseaux et de l'information (NISEC) à Tampere University. L'impact des vulnérabilités est considéré comme élevé. Selon l'avis officiel de Mozilla, NSS a montré des différences de synchronisation lors de l'exécution des signatures DSA, qui était exploitable et pourrait éventuellement faire fuir des clés privées.
Un autre problème très grave est CVE-2020-12405, ou une vulnérabilité d'utilisation après libération dans SharedWorkerService, rapporté par Marcin ‘Icewall’ Étape de Cisco Talos. Lors de la navigation sur une page malveillante, une condition de concurrence critique dans notre SharedWorkerService pourrait se produire et conduire à un crash potentiellement exploitable, l'avis décrit.
Le bogue le plus grave des trois vulnérabilités restantes est CVE-2020-12407, évalué comme modéré. La faille est liée à une fuite de mémoire GPU:
Le développeur de Mozilla, Nicolas Silva, a constaté que lors de l'utilisation de WebRender, Dans certaines conditions, Firefox laisserait de la mémoire GPU arbitraire à l'écran visible. Le contenu de la fuite de mémoire était visible pour l'utilisateur, mais pas observable à partir du contenu Web.
Enfin, CVE-2020-12408 et CVE-2020-12409 sont tous deux considérés comme à faible risque et sont liés à l'usurpation d'adresse URL. Ils ont été rapportés par le chercheur indépendant Rayyan Bijoora.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: