Les mises à jour de Firefox avec le correctif de vulnérabilité CVE-2019-17026
La nouvelle mise à jour de Mozilla Firefox a été déployée avec le correctif d’une vulnérabilité zero-day appelée CVE-2019-17026 qui a été activement exploitée dans la nature. Cette vulnérabilité permet aux attaquants qui exploitent le navigateur de prendre le contrôle total du système infecté.
Voici la notification émise par la CISA (Cybersecurity and Infrastructure Security Agency) du Département de la sécurité intérieure des États-Unis:
«Mozilla a publié des mises à jour de sécurité pour corriger la vulnérabilité de Firefox et Firefox ESR. Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle d’un système affecté. Cette vulnérabilité a été détectée dans des exploits dans la nature. »
Cela indique en fait à quel point la vulnérabilité était critique. La mise à jour de Firefox avec les correctifs de cette vulnérabilité a été publiée le 8 janvier juste après une autre mise à jour majeure, la version 72 du 7 janvier, qui corrigeait 11 failles de sécurité. Tous les utilisateurs de Firefox doivent immédiatement corriger le navigateur avec la dernière mise à jour, qui est 72.0.1 pour Firefox et 68.4.1 Firefox ESR.
D’où la vulnérabilité se produit
Mozilla Firefox est le navigateur le plus populaire et le deuxième plus utilisé après Google Chrome. Selon les dernières statistiques, elle prend 9,54% des parts de marché de l’entreprise. C’est peut-être la raison pour laquelle la mise à jour est sincèrement ciblée et l’institut gouvernemental conseillait aux utilisateurs d’installer la dernière mise à jour de Firefox avec le correctif de la vulnérabilité zero-day.
Qihoo 360, une firme de sécurité chinoise a découvert cette faille CVE-2019-17026 du navigateur Firefox. Aucune découverte de la menace Intelligence Company n’a été publiée publiquement et aucun détail n’a été révélé à ceux qui ont tenté de contacter l’entreprise. Ce qui est connu, la vulnérabilité se produit lorsque la ressource que le programme alloue ou initialise avec ne trouve aucune correspondance avec ce que les ressources utilisaient à l’origine. En d’autres termes, une certaine exécution de code à distance pourrait être utilisée pour accéder au programme.
Quelle est la seule chose connue actuellement, comme expliqué dans l’avis de Mozilla:
“Des informations d’alias incorrectes dans le compilateur IonMonkey JIT pour définir les éléments du tableau peuvent entraîner une confusion de type.”
Les vulnérabilités zero-day sont très dangereuses
Les vulnérabilités Zero-day d’un programme sont les bogues qui n’ont pas encore été découverts par le développeur ou d’autres membres de la communauté info-sécurité et qui sont utilisés par des acteurs malveillants dans la nature. Les pirates peuvent utiliser ces bogues et exploiter n’importe quoi sans limitations. Récemment, les deux vulnérabilités de Firefox qui ont été corrigées ont affecté la version Mac OS du navigateur et ont permis aux pirates de créer une porte dérobée pour l’échange de crypto-monnaie.