La fondation Mozilla comble deux failles de sécurité avec un niveau de risque « critique » en mettant à jour les versions des navigateurs web Firefox, Klar et du programme de messagerie Thunderbird. Ces derniers sont déjà activement attaqués et exploités par des cybercriminels. Les administrateurs et les utilisateurs devraient installer rapidement les mises à jour.
Les vulnérabilités colmatent les nouvelles versions Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pour Android 97.3.0 et Firefox clair 97.3.0 (une version de Firefox avec une protection contre le tracking et un bloqueur de publicité activés, connue en anglais sous le nom de Focus) ainsi que Thunderbird 91.6.2 a disparu. La Fondation Mozilla ne donne pas plus de détails sur les failles.
Sommaire
Détails manquants
Seuls les numéros CVE et une description sommaire sont mentionnés dans le message de sécurité des développeurs de Mozilla. Pour les deux vulnérabilités, les erreurs se produisent par ce que l’on appelle « Use-after-free », c’est-à-dire généralement l’utilisation d’un pointeur sur des zones de mémoire qui ont en fait déjà été libérées. Les conséquences de ce type de vulnérabilité varient généralement de la possibilité de manipuler des données à l’exécution de codes malveillants en passant par le blocage du logiciel.
Dans les deux cas, l’ouverture d’une page web préparée peut suffire à exploiter la faille de sécurité. L’une des deux failles peut se produire si les paramètres XSLT sont supprimés, explique Ubuntu dans un message à ce sujet (CVE-2022-26485, CVSS >=9.0, critique). XSLT décrit des transformations de documents XML. La deuxième faille déjà activement exploitée concerne le framework WebGPU-IPC (CVE-2022-26486, CVSS >=9.0, critique). WebGPU est une interface de programmation qui permet aux sites web d’accéder au GPU du système, c’est-à-dire à la carte graphique.
(Image : Capture d’écran)
Les entrées CVE sont encore réservées et verrouillées, de sorte que le score CVSS ne peut être indiqué pour l’instant que de manière approximative sur la base de l’évaluation des risques de la Mozilla Foundation.
Vérification des mises à jour
Sur les appareils de bureau et les ordinateurs portables, les utilisateurs peuvent vérifier la version actuellement installée en cliquant sur le menu hamburger (l’icône avec les trois traits horizontaux en haut à droite de la barre d’adresse), puis en allant dans « Aide » et enfin en sélectionnant « À propos de Firefox ».
Cela permet soit d’afficher le numéro de la version actuelle, soit de lancer le téléchargement et l’installation de celle-ci. Après un redémarrage du navigateur ou du programme de messagerie, la version corrigée est alors active. Comme des attaques sont déjà en cours pour exploiter les vulnérabilités dans la nature, les utilisateurs et administrateurs de Firefox et Thunderbird devraient installer les mises à jour sans tarder.
- Firefox : téléchargement rapide et sûr de heise.de
- Thunderbird : téléchargement rapide et sûr de heise.de
A lire aussi :
Page thématique sur Firefox sur heise online