Si vous êtes un utilisateur de Firefox, laissez-moi vous dire qu'il est temps de mettre à jour votre navigateur oui ou oui. Et que récemment une vulnérabilité zero day a été découverte dans le navigateur et est activement exploité dans des attaques ciblées.
La faille de sécurité a été révélé via Project Zero de Google et affecte toutes les versions de Firefox. Cependant, la bonne nouvelle est qu'il existe un correctif disponible à partir du 18 juin dans les versions Firefox 67.0.3 et Firefox ESR 60.7.1.
De plus, Mozilla recommande fortement aux utilisateurs de mettre à niveau.
À propos de la faille de sécurité
Dans un bulletin de sécurité, Les ingénieurs de Mozilla ont donné quelques explications sur la nature de la faute.
Par exemple, ils expliquent que il s'agit d'une vulnérabilité qui peut être activée en manipulant des éléments JavaScript en raison de problèmes dans la méthode Array.pop (qui supprime le dernier élément d'un tableau JavaScript).
Il est également signalé que l'erreurr profite de la confusion sur le type de données en JavaScript.
«Une vulnérabilité de confusion peut survenir lors de la gestion des objets JavaScript en raison de problèmes rencontrés dans Array.pop. Cela peut conduire à un accident exploitable. Nous avons connaissance d'attaques ciblées qui exploitent cette faille », précise la note explicitement vague.
Outre la brève description publiée sur le site de Mozilla, il n'y a pas d'autres détails sur cette vulnérabilité de sécurité ou des attaques en cours.
Après une demande de détails supplémentaires, Ils mentionnent que le bogue pourrait être exploité pour l'exécution de code à distance (RCE), mais il faudrait alors un échappement séparé du bac à sable pour exécuter le code dans un sous-système sous-jacent.
"Cependant, il est probable qu'il puisse également être exploité pour des scripts croisés, ce qui peut être suffisant en fonction des objectifs de l'attaquant", ont-ils ajouté.
Le script intersite (abrégé en XSS) est un type de faille de sécurité de site Web qui permet au contenu d'être injecté dans une page, provoquant des actions dans les navigateurs Web qui visitent la page.
Les possibilités de XSS sont très larges, puisque l'attaquant peut utiliser tous les langages supportés par le navigateur (JavaScript, Java, Flash…) et de nouvelles possibilités sont régulièrement découvertes, notamment avec l'arrivée de nouvelles technologies comme HTML5.
Par exemple, il est possible de rediriger vers un autre site pour hameçonnage ou de voler la session en récupérant des cookies.
D'un autre côté, ils affirment également qu'ils ne disposent pas pour le moment de détails sur la façon dont cette faille zero day a été utilisée dans le navigateur, ce que Coinbase Security pourrait en savoir plus sur les attaques découvertes.
«Je n'ai aucune idée de la partie liée à l'exploitation active. J'ai trouvé et signalé le bogue le 15 avril ", a déclaré un chercheur en sécurité de Google.
Cependant, certains pourraient dire que sur la base de l'autre entité qui a signalé la faille de sécurité (Coinbase Security), nous pouvons supposer que cette faille de sécurité a été exploitée lors d'attaques contre les propriétaires de crypto-monnaie.
Comment mettre à jour le navigateur Firefox sous Linux?
Afin de mettre à jour les nouvelles versions correctives du navigateur vers celui-ci et même de l'installer si vous ne l'avez pas, vous pouvez le faire en suivant les instructions que nous partageons ci-dessous.
Les utilisateurs d'Ubuntu, de Linux Mint ou de tout autre dérivé d'Ubuntu, Ils peuvent installer ou mettre à jour cette nouvelle version à l'aide du PPA du navigateur.
Cela peut être ajouté au système en ouvrant un terminal et en y exécutant la commande suivante:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
C'est fait maintenant, il suffit d'installer avec:
sudo apt install firefox
Dans le cas de Utilisateurs d'Arch Linux et dérivés, exécutez simplement dans un terminal:
sudo pacman -Syu
Ou à installer avec:
sudo pacman -S firefox
Pour toutes les autres distributions Linux peuvent télécharger les packages binaires dès le lien suivant.
Une autre façon de mettre à jour le navigateur vers la dernière version consiste à ouvrir le navigateur et à cliquer sur le point d'interrogation dans la barre de menus.
Ici, nous allons sélectionner "À propos de Firefox" et avec lui le téléchargement et l'installation de la nouvelle version démarreront automatiquement.
Les correctifs publiés de Firefox sont 67.0.3 et 60.7.1, dans lesquels la vulnérabilité critique (CVE-2019-11707) a été corrigée.