Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première.

firefox

Un chercheur en sécurité du Google Project Zero a récemment identifié une faille critique dans Firefox qui permettait d’exécuter du code malveillant à distance sur les machines des victimes. Deux jours après le patch déployé par Mozilla, la fondation revient avec un deuxième correctif lié à la même vulnérabilité.

Firefox reçoit un deuxième correctif en deux jours

La première vulnérabilité était décrite comme une faille d’injection de code à distance qui passe par un processus classique de phishing. En trompant la vigilance des victimes qui sont poussées à cliquer sur un lien, les attaquants pouvaient installer un malware sur leur machine. Le premier correctif rend en principe cette attaque inopérante, mais une deuxième faille permettant son exécution complète a été découverte.

Mozilla la décrit comme une faille « d’évasion de bac à sable » (sandbox escape) qui ouvrait directement la porte vers le système d’exploitation des victimes. Elle permettant en effet au code malicieux de s’échapper d’un espace sécurisé isolé du reste de la machine. Le nouveau patch ne laisse désormais aucune chance aux hackers d’exécuter leur besogne.

Ces derniers s’étaient lancés dans une campagne d’attaque ciblée contre les plateformes de cryptomonnaies, bien que théoriquement n’importe quel utilisateur de Firefox pouvait en être victime. Mozilla travaille depuis des années à rendre son navigateur plus sécurisé. Malgré les progrès réalisés, ces nouvelles failles montrent que la sécurité à 100% n’existe pas.

Avec Firefox 67 sorti il y a un peu plus d’un mois, le navigateur est devenu encore plus rapide tout en introduisant une fonctionnalité permettant de bloquer le pistage des internautes par les techniques de création d'empreintes numériques. Les cookies tiers sur Firefox sont eux aussi bloqués par défaut.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…