Attention : mettez à jour Firefox tout de suite, une faille critique est utilisée pour des attaques
Attention si vous surfez avec Firefox : une faille de sécurité critique vient d’être décelée dans le navigateur web de la fondation Mozilla. La mauvaise nouvelle, c’est que cette vulnérabilité est déjà exploitée pour s’en prendre aux internautes. La bonne, c’est qu’un correctif est disponible depuis le 18 juin. Avec la version 67.0.3 de Firefox, la brèche n’est plus exploitable.
Une faille exploitée pour des attaques
Dans un bulletin de sécurité, quelques explications sur la nature de la faille sont données : on y comprend qu’il s’agit d’une vulnérabilité qui peut se déclencher en manipulant des éléments JavaScript à cause de problèmes dans la méthode Array.pop (qui permet de supprimer le dernier élément d’un tableau JavaScript). Il est aussi signalé que le bug profite d’une confusion sur le type de données en JavaScript.
« Nous sommes au courant d’attaques ciblées qui abusent de cette faille », met en garde la fondation Mozilla. Signe de la gravité de la situation, le centre américain de veille, d’alerte et de réponse aux attaques informatiques (US-CERT) a publié une recommandation de la toute nouvelle agence CISA (Cybersecurity and Infrastructure Security Agency) invitant tout le monde à faire la mise à jour.
La découverte de la vulnérabilité est à mettre au crédit de Samuel Groß, un membre du Projet Zéro de Google, et des équipes de sécurité de Coinbase, une populaire plateforme d’échange de cryptomonnaie. Quant au Projet Zéro, il s’agit d’une équipe qui s’efforce de repérer les vulnérabilités critiques dans les logiciels. Fondé en 2014, le Projet Zéro a à son crédit un sacré tableau de chasse.
]]>