Nous vous conseillons de vérifier si vous utilisez la dernière version du navigateur Firefox. Mozilla vient de corriger plusieurs vulnérabilités, un critique et plusieurs de haute gravité. La mise à jour est incluse dans la version Firefox 84, et il améliore également les performances de Firefox en ajoutant une prise en charge native du matériel macOS fonctionnant sur des processeurs Apple.
La vulnérabilité critique est connue sous le nom de CVE-2020-16042. Il est à noter que le même bogue critique a également été résolu récemment dans une mise à jour de sécurité de Google Chrome. Cependant, Google l'a jugé élevé en termes de gravité. En outre, ni Mozilla ni Google n'ont fourni une description technique du problème grave, qui n'est mis en évidence que comme un bogue de mémoire.
Selon l'avis de sécurité de Mozilla, CVE-2020-16042 est un problème dans BigInt, un composant JavaScript qui aurait pu déclencher l'exposition de la mémoire non initialisée. La description de Google est différente, car le bogue est appelé "utilisation non initialisée" affectant le moteur JavaScript V8 de Chrome. L'avis de sécurité de Google ne précise pas non plus la nature de la vulnérabilité. Ce que l’on sait, c’est que ces types de bogues sont largement négligés et considérés comme des «erreurs de mémoire insignifiantes».
Qu'en est-il du reste des vulnérabilités adressées par Mozilla dans Firefox 84?
Comme déjà mentionné, le reste des bogues est considéré comme de haute gravité. Deux d’entre eux sont décrits comme des «bogues de sécurité de la mémoire» – CVE-2020-35114 et CVE-2020-35113. „Certains de ces bogues ont montré des preuves de corruption de la mémoire et nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire,«L'avis dit. Les deux correctifs ont résolu des problèmes dans Firefox 84 et ESR 78.6 navigateur.
Les autres vulnérabilités associées à la mémoire du navigateur sont CVE-2020-26971, CVE-2020-26972 et CVE-2020-26973.
Plus d'informations sont disponibles dans Avis de sécurité de Mozilla.
Plus tôt cette année, Firefox a corrigé une vulnérabilité de divulgation d'informations. CVE-2020-12418, découvert par Cisco Talos, pourrait être exploitée en incitant l'utilisateur à visiter une page Web spécialement conçue via le navigateur. Dans le cas d'un exploit réussi, l'acteur de la menace pourrait utiliser une fuite de mémoire pour contourner l'ASLR (Adresse Randomisation Space Layout). Si le défaut est combiné avec d'autres bogues, l'attaquant pourrait obtenir la possibilité d'exécuter du code arbitraire, les chercheurs mettent en garde.