Un chercheur en sécurité du Google Project Zero a récemment identifié une faille critique dans Firefox qui permettait d’exécuter du code malveillant à distance sur les machines des victimes. Deux jours après le patch déployé par Mozilla, la fondation revient avec un deuxième correctif lié à la même vulnérabilité.
Firefox reçoit un deuxième correctif en deux jours
La première vulnérabilité était décrite comme une faille d’injection de code à distance qui passe par un processus classique de phishing. En trompant la vigilance des victimes qui sont poussées à cliquer sur un lien, les attaquants pouvaient installer un malware sur leur machine. Le premier correctif rend en principe cette attaque inopérante, mais une deuxième faille permettant son exécution complète a été découverte.
Mozilla la décrit comme une faille « d’évasion de bac à sable » (sandbox escape) qui ouvrait directement la porte vers le système d’exploitation des victimes. Elle permettant en effet au code malicieux de s’échapper d’un espace sécurisé isolé du reste de la machine. Le nouveau patch ne laisse désormais aucune chance aux hackers d’exécuter leur besogne.
Ces derniers s’étaient lancés dans une campagne d’attaque ciblée contre les plateformes de cryptomonnaies, bien que théoriquement n’importe quel utilisateur de Firefox pouvait en être victime. Mozilla travaille depuis des années à rendre son navigateur plus sécurisé. Malgré les progrès réalisés, ces nouvelles failles montrent que la sécurité à 100% n’existe pas.
Avec Firefox 67 sorti il y a un peu plus d’un mois, le navigateur est devenu encore plus rapide tout en introduisant une fonctionnalité permettant de bloquer le pistage des internautes par les techniques de création d’empreintes numériques. Les cookies tiers sur Firefox sont eux aussi bloqués par défaut.
]]>