Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première.

firefox

Un chercheur en sécurité du Google Project Zero a récemment identifié une faille critique dans Firefox qui permettait d’exécuter du code malveillant à distance sur les machines des victimes. Deux jours après le patch déployé par Mozilla, la fondation revient avec un deuxième correctif lié à la même vulnérabilité.

Firefox reçoit un deuxième correctif en deux jours

La première vulnérabilité était décrite comme une faille d’injection de code à distance qui passe par un processus classique de phishing. En trompant la vigilance des victimes qui sont poussées à cliquer sur un lien, les attaquants pouvaient installer un malware sur leur machine. Le premier correctif rend en principe cette attaque inopérante, mais une deuxième faille permettant son exécution complète a été découverte.

Mozilla la décrit comme une faille « d’évasion de bac à sable » (sandbox escape) qui ouvrait directement la porte vers le système d’exploitation des victimes. Elle permettant en effet au code malicieux de s’échapper d’un espace sécurisé isolé du reste de la machine. Le nouveau patch ne laisse désormais aucune chance aux hackers d’exécuter leur besogne.

Ces derniers s’étaient lancés dans une campagne d’attaque ciblée contre les plateformes de cryptomonnaies, bien que théoriquement n’importe quel utilisateur de Firefox pouvait en être victime. Mozilla travaille depuis des années à rendre son navigateur plus sécurisé. Malgré les progrès réalisés, ces nouvelles failles montrent que la sécurité à 100% n’existe pas.

Avec Firefox 67 sorti il y a un peu plus d’un mois, le navigateur est devenu encore plus rapide tout en introduisant une fonctionnalité permettant de bloquer le pistage des internautes par les techniques de création d'empreintes numériques. Les cookies tiers sur Firefox sont eux aussi bloqués par défaut.



Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Chrome : 5 failles de sécurité mettent votre ordinateur en danger

Chrome est victime de 5 nouvelles failles de sécurité, mettent en garde les chercheurs de Tencent Blade. Baptisées Magellan 2.0, ces failles permettent théoriquement à un attaquant d’exécuter à distance du code malveillant sur votre ordinateur. Heureusement, Google a déjà déployé…

LeBonCoin : une nouvelle arnaque par SMS va vider votre compte bancaire

LeBonCoin est la cible d’une nouvelle arnaque particulièrement bien ficelée. Les pirates visent exclusivement les internautes ayant mis un article en vente sur le site d’annonces. Grâce à un faux SMS et une application factice, ils vont tenter de soutirer l’argent de…