Le week-end a été chaud pour les développeurs de Firefox. Mozilla annonce en effet avoir corrigé dans l’extrême urgence deux vulnérabilités zero day nichées au coeur du navigateur. Si Mozilla a été aussi rapide à diffuser un patch (Firefox v97.0.2 Firefox ESR 91.6.1, Firefox for Android 97.3.0, et Focus 97.3.0), c’est aussi pour la simple et bonne raison que la faille était déjà pleinement exploitée par des malandrins : « Nous avons reçu plusieurs signalements d’attaques abusant de ces vulnérabilités zero-day » affirme Mozilla sur son site.
Ces deux failles étaient particulièrement sensibles : l’une d’entre elles, de type Remote Code Execution (RCE), permet l’installation et l’ exécution à distance d’un code malicieux, évidemment sans devoir en passer par des autorisations préalables. D’une façon générale, il devenait extrêmement simple pour un hacker de subtiliser sur un poste distant les données personnelles de son choix pourvu que ces dernières ne soient pas chiffrées. La seconde faille, de type Use-after-free, permettait d’utiliser la mémoire non allouée par certaines applications pour y installer du code malveillant.
Vous savez bien comment va se finir cet article cher lecteur, surtout si vous nous lisez via un navigateur Firefox : il est grand temps de faire la mise à jour (v97.0.2) si cela n’est pas déjà été fait.
Un commentaire pour cet article :