Mozilla a publié une mise à jour de sécurité d'urgence pour corriger une vulnérabilité critique de type “zero-day” exploitée activement, qui affecte son navigateur web Firefox et son client de messagerie Thunderbird.

Mozilla vient de déployer une mise à jour de sécurité pour toutes les versions prises en charge de son navigateur web Firefox ainsi que pour le client de messagerie Thunderbird. Ces mises à jour viennent corriger un problème de sécurité critique dans WebP qui est exploité activement par les cybercriminels.

La faille affecte Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, et Thunderbird. La vulnérabilité, nommée CVE-2023-4863, a été depuis été corrigée avec la publication de Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, et Thunderbird 115.2.2. Les mises à jour sont dès à présent disponibles, et on vous conseille comme toujours de les installer le plus rapidement possible.

Lire également – Mozilla révèle enfin la date de fin de support de Firefox sur Windows 7, 8 et 8.1

Mozilla corrige une vulnérabilité dangereuse sur Firefox

La vulnérabilité permet notamment à un attaquant d'effectuer à distance une écriture de mémoire hors limites via une page HTML conçue, conduisant à une exécution de code arbitraire. Mozilla n'a pas divulgué de détails sur les attaques exploitant cette faille, mais le fait qu'elle ait été découverte par des chercheurs du Citizen Lab suggère qu'il a été exploité dans le cadre d'attaques ciblées contre des personnes très en vue, telles que des journalistes, des hommes politiques ou des dissidents.

Notez que Firefox 117.0.1 n'est pas seulement une mise à jour de sécurité, puisqu'elle corrige également un certain nombre de problèmes dans le navigateur web open source. Deux bugs affectant l'ouverture des liens sont corrigés dans la version. Le premier fait que l'option “rouvrir tous les onglets” du menu des onglets récemment fermés n'ouvre parfois pas tous les onglets. Dans le second cas, les liens activés en dehors de Firefox sur macOS n'étaient parfois pas ouverts dans Firefox.

Un autre correctif concerne aussi un problème qui affectait les extensions. Il arrivait que des extensions soient interrompues alors qu'elles étaient encore en cours d'exécution. Cela pouvait se produire lorsque les extensions utilisaient “une page d'événements pour des tâches de longue durée”. Enfin, les autres correctifs concernent un problème de visibilité du menu des signets, un problème de détection du fuseau horaire sur certains sites et un problème des worklets audio sur les sites qui utilisent la gestion des exceptions WebAssembly.