Dans les nouvelles versions Firefox 97, Firefox ESR 91.6 et Thunderbird 91.6, les programmeurs de la Fondation Mozilla colmatent des failles de sécurité. Les vulnérabilités représentent en partie un risque élevé et pourraient, selon l’estimation des développeurs de Mozilla, être éventuellement exploitées par des pirates pour introduire et exécuter des codes malveillants.

Au total, les versions mises à jour corrigent 13 erreurs liées à la sécurité. La page web concernant les failles de sécurité comblées dans Thunderbird 91.6 n’est pas encore à jour. Cependant, comme le code est basé sur Firefox ESR 91.6, les failles de la version précédente ont également été corrigées. Les développeurs de Mozilla ont dressé la liste des vulnérabilités comblées dans Firefox 97 et dans Firefox ESR 91.6 sur une page web séparée.

Aperçu des failles de sécurité comblées

Vulnérabilités qui affectent à la fois Firefox 97, ESR 91.6 ainsi que Thunderbird 91.6 fermer :

• Erreur de sécurité non expliquée dans la gestion de la mémoire. Les développeurs estiment que cela aurait pu permettre aux attaquants d’introduire et d’exécuter du code malveillant avec un peu d’effort (CVE-2022-22764, risque élevé)
• Extension des droits sous Windows vers SYSTEM par le service de maintenance (CVE-2022-22753, élevé)
• Des extensions auraient pu contourner les confirmations de droits lors d’une mise à jour et ainsi s’attribuer de nouveaux droits (CVE-2022-22754, élevé)
• En utilisant le glisser-déposer sur une image, l’objet sur le bureau ou le dossier local aurait pu être un script exécutable et ainsi exécuter du code arbitraire après que l’utilisateur ait cliqué dessus (CVE-2022-22756, moyen)
• Une page web qui utilise des iframes dans une sandbox sans option allow-scripts aurait pu, en ajoutant d’autres éléments comme un gestionnaire d’événements JavaScript, l’exécuter malgré la sandbox (CVE-2022-22759, moyen)
• Des sites web auraient pu obtenir des informations sans autorisation car les réponses d’origine croisée étaient différentes entre le contenu des scripts et celui des non-scripts (CVE-2022-22760, moyen)
• La politique de sécurité frame-ancestor n’était pas correctement appliquée lors de l’appel de pages web d’extension (pages avec le schéma moz-extension://) (CVE-2022-22761, moyen)

Failles de sécurité qui Firefox 97 scelle :

• Erreurs de gestion de la mémoire non expliquées qui auraient pu permettre à un attaquant d’injecter du code malveillant (CVE-2022-0511, élevé)
• Un serveur web manipulé aurait pu livrer des documents XSL que JavaScript aurait pu continuer à exécuter même après la fermeture de l’onglet (CVE-2022-22755, moyen)
• L’agent distant du composant Web Driver n’empêchait pas les pages d’établir des connexions locales et donc de contrôler le navigateur – mais Web Driver n’est pas activé par défaut (CVE-2022-22757, moyen)
• Les liens « tel : » auraient pu envoyer des codes USSD (codes de contrôle sur le réseau GSM) au composant de numérotation de Firefox pour Android et ainsi effectuer des changements de configuration pour la téléphonie en fonction de l’opérateur téléphonique (CVE-2022-22758, moyen)
• Les boîtes de dialogue JavaScript de Firefox pour Android auraient pu être affichées via d’autres domaines
• (CVE-2022-22762, faible)

Et enfin, celui avec Firefox ESR 91.6 et Thunderbird 91.6 bugs corrigés :

• L’exécution d’un script à la fermeture d’un « worker » n’était plus possible (CVE-2022-22763), moyen)

Installer les mises à jour

Comme les versions mises à jour comblent des failles de sécurité qui pourraient permettre à des pirates de glisser des codes malveillants à des utilisateurs innocents, les utilisateurs et les administrateurs devraient les installer rapidement. Les programmes devraient se mettre à jour automatiquement après un certain temps, mais les cybercriminels pourraient profiter de ce laps de temps pour lancer des attaques.

Les utilisateurs peuvent vérifier si le navigateur ou le programme de messagerie sont à jour en cliquant sur le menu « hamburger », l’icône avec les trois traits horizontaux en haut à droite du navigateur, puis en sélectionnant « Aide » et ensuite « À propos de Firefox » (respectivement « À propos de Thunderbird »). Le cas échéant, cela déclenche le téléchargement et l’installation de la mise à jour.