Votre navigateur Firefox doit être patché le plus tôt possible, comme deux vulnérabilités zero-day (CVE-2020-6819, CVE-2020-6820) ont été détectés.
Les vulnérabilités sont classées critiques car ils permettent l'exécution de code à distance, et il semble qu'ils ont été activement exploitées dans la nature des attaques ciblées, selon l'avis de sécurité officielle Mozilla Foundation.
CVE-2020-6819
Cette vulnérabilité a été corrigée dans Firefox 74.0.1 et ESR Firefox 68.6.1. Son impact est critique. Il n'y a pas eu de spécifications sur la nature de la vulnérabilité dans Mozilla consultatif, et le conseil de Mitre est encore mis à jour.
CVE-2020-6820
Cette vulnérabilité a été décrite comme une question « use-after-free » lors de la manipulation d'un ReadableStream. Le bug a été rapporté par des chercheurs de sécurité Francisco Alonso et Javier Marcos.
"Sous certaines conditions, lors de la manipulation d'un ReadableStream, une condition de course peut entraîner une utilisation ultérieure sans. Nous sommes conscients des attaques ciblées dans la nature Abuser de cette faille," Le conseil de Mozilla explique.
Les deux vulnérabilités sont essentielles, et permettre à des attaques d'exécution de code à distance. Si elle est exploitée, les insectes pourraient déclencher des accidents sur les machines vulnérables en cours d'exécution Firefox avant la version 74.0.1 ou son support étendu Firefox orienté vers les entreprises de presse 68.6.1. Firefox sous Windows, macOS, et Linux est vulnérable. Il y a près de aucun détail sur la façon dont ces vulnérabilités sont utilisées dans des attaques dans la nature.
Ce qui est connu est que le pire scénario implique une attaque où l'exécution arbitraire de code est autorisé. Selon le Center for Internet Security (CIS), en fonction des privilèges de l'utilisateur, un acteur de menace pourrait installer des programmes, vue, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs ayant moins de droits utilisateur sur le système particulier pourraient être moins touchés que ceux qui ont des droits d'admin.
Les correctifs sont déjà disponibles pour les versions suivantes de Firefox: Firefox 74.0.1 pour Windows 64 bits, Firefox 74.0.1 pour Windows 32 bits, Firefox 74.0.1 pour macOS, Firefox 74.0.1 pour Linux 64 bits et Firefox 74.0.1 pour Linux 32 bits.