Après les récentes mises à jour d’urgence qui ont comblé des vulnérabilités activement attaquées dans Firefox et Thunderbird, les mises à jour de sécurité suivent aujourd’hui un rythme régulier. La fondation Mozilla met à disposition les versions corrigées des bogues Firefox 98 ainsi que Firefox ESR 91.7 qui comblent des lacunes de sécurité présentant parfois un risque élevé.
Sommaire
Une poignée de vulnérabilités
Les deux versions du navigateur comblent quatre failles de sécurité dont les risques sont considérés par les développeurs de Mozilla comme élevé est un problème. En redimensionnant une fenêtre pop-up après une demande de mode plein écran, le pop-up n’affiche pas la notification plein écran, ce qui permet l’usurpation de fenêtre de navigateur (CVE-2022-26383). Si un attaquant peut contrôler le contenu d’une iframe qui est dans une sandbox avec les options « Allow-Popups » et « Not Allow-Scripts », il pourrait créer un lien qui mène à l’exécution de JavaScript contrairement à la règle de la sandbox (CVE-2022-26384).
Lors de l’installation d’un module complémentaire, Firefox vérifie sa signature avant d’afficher une boîte de dialogue utilisateur. Pendant qu’un utilisateur confirme ce dialogue, le module complémentaire sous-jacent aurait pu être modifié sans que Firefox ne le remarque (CVE-2022-26387). En outre, un attaquant aurait pu provoquer une erreur Use-after-free en forçant un contournement de texte dans un objet SVG. Cela aurait pu entraîner un plantage potentiellement exploitable pour le pire, c’est-à-dire l’exécution de code malveillant en contrebande (CVE-2022-26381).
Les vulnérabilités communes aux deux navigateurs s’arrêtent ici.
La version précédente de Firefox ESR 91.7 présentait exactement une poignée de failles : La cinquième vulnérabilité ne concernait que la version ESR et consistait en ce que Firefox sous Linux et macOS ne téléchargeait pas dans des répertoires Temp spécifiques à l’utilisateur, mais dans le /tmp du système. Cela aurait permis à d’autres utilisateurs d’y accéder. Les développeurs ont rétabli le comportement initial, qui enregistre dans des répertoires Temp propres à l’utilisateur (CVE-2022-26386, risque faible).
Autres points faibles
Seule la version antérieure à Firefox 98 contenait trois autres vulnérabilités avec de niveau moyen à risque. Des textes issus de la fonction de remplissage automatique pouvaient être involontairement révélés par des jeux de caractères spécialement préparés lors d’une attaque par canal latéral (CVE-2022-26382). Dans des circonstances inhabituelles non expliquées, un thread pouvait survivre à son thread d’administration lors de l’arrêt. Cela pourrait conduire à une erreur d’utilisation après libération, qui pourrait éventuellement conduire à l’exécution de code infiltré (CVE-2022-26385). La dernière faille de sécurité comblée par Firefox 98, selon l’avis de sécurité de Mozilla, concerne des erreurs de sécurité de la mémoire qui auraient pu être exploitées par des attaquants pour exécuter leur propre code de programmation (CVE-2022-0843).
Les utilisateurs et les administrateurs de Firefox devraient vérifier une nouvelle fois s’ils utilisent déjà la version actuelle. Pour ce faire, il suffit de cliquer sur le menu « hamburger » (l’icône avec les trois bandes horizontales à droite de la barre d’adresse) sous Windows et macOS, puis de cliquer sur « Aide » et de sélectionner « À propos de Firefox ». Cela permet soit d’afficher la version actuelle, soit de lancer le téléchargement et l’installation de celle-ci. Les utilisateurs de Linux obtiennent généralement la version actualisée à l’aide des outils de mise à jour propres à la distribution.
Lire aussi
