Discussion :

[vidoc7]

Mozilla corrige une faille zero day dans Firefox, mettez vite votre navigateur à jour !





À peine repérée, immédiatement patchée, la vulnérabilité est activement exploitée sur les versions classiques et ESR de Firefox.

Fait assez rare pour être mentionné, Mozilla vient tout juste de confirmer la présence d’une faille zero day dans Firefox.

Estampillée CVE-2024-9680, identifiée comme critique, elle permet aux cyberattaquants d’exécuter du code à distance sur les ordinateurs des internautes.

La fondation a déjà déployé un patch et conseille à l’ensemble de ses utilisateurs et utilisatrices de mettre leur navigateur web à jour le plus rapidement possible.


Trous de mémoires et injection de code malveillant

La vulnérabilité a d’abord été repérée par Damian Schaeffer, chercheur en sécurité chez Eset, avant que Mozilla ne communique officiellement dessus.

Dans le détail, il s’agit d’une faille de type « use-after-free » dans le composant « Animation timelines » de Firefox 131.0.1, Firefox ESR 128.3.0 et Firefox ESR 115.16.0.

À titre d’information, Animation timelines est élément intégré à l’API Animations Web du navigateur, en charge, comme son nom l’indique, de gérer et synchroniser les animations sur les pages web.



Mettez rapidement à jour Firefox pour profiter du patch corrigeant une faille zero day activement exploitée ©


Une mise à jour d'urgence s'impose

Dans tous les cas, il est vivement conseillé de mettre à jour votre navigateur vers les versions les plus récentes de Firefox, à savoir 130.0.2, ESR 128.3.1 et ESR 115.16.1.

En théorie, il vous suffit de vous rendre dans les Paramètres > Aide > À propos de Firefox.

Le navigateur devrait télécharger automatiquement la mise à jour de sécurité et vous inviter à redémarrer Firefox pour appliquer le patch.

Considéré comme l'un des navigateurs les mieux sécurisés, Firefox est assez peu sujet aux failles zero day.

Pour rappel, il s’agit de la seconde vulnérabilité de ce type depuis le début de l’année.

En comparaison, Chrome en a déjà corrigé une dizaine en dix mois.


Dans ce cas, la vulnérabilité se produit lorsque la mémoire qui a été libérée est toujours utilisé par le programme, autorisant les hackers à y injecter leurs propres données malveillantes.

Alertée et réactive, Mozilla a rapidement confirmé la découverte, et déployé des correctifs de sécurité pour les différentes versions de Firefox affectées.

Elle a également signalé que la vulnérabilité était activement exploitée, sans donner plus de détail concernant les types de cyberattaques orchestrées et la manière dont elles sont menées.

À noter que le NIST, organisme de référence en charge de l'analyse et de la divulgation d'informations complètes sur les CVE, n’a pas encore documenté CVE-2024-9680 non plus.

[Jipété]

la vulnérabilité se produit lorsque la mémoire qui a été libérée est toujours utilisée par le programme, autorisant les hackers à y injecter leurs propres données malveillantes.

Et ils sortent d'où, ces hackers ? C'est un bot dans ma machine ? Ou ils y ont un compte ou une porte dérobée ? On ne nous dit pas tout...