Bien que ces points ne soient vulnérables que sous certaines conditions, l'entreprise a qualifié les deux de critiques. La bonne nouvelle est que Mozilla rapidement sorti un pièce pour les corriger.
HIl a été découvert que des ackers exploitaient deux vulnérabilités auparavant inconnues dans le navigateur Firefox pour contrôler les ordinateurs.
Les détails de ces vulnérabilités sont minimes, mais on sait qu'elles peuvent déclencher un "condition de course,« Ce qui se traduit par une situation dangereuse pour le navigateur. Si cela est exploité, les erreurs pourraient provoquer le « plantage » du système ou pousser Firefox à exécuter du code, ouvrant la voie à un pirate informatique pour télécharger des logiciels malveillants supplémentaires sur votre PC.
"Nous avons connaissance d'attaques ciblées sur le monde extérieur qui exploitent une telle failleA déclaré Mozilla, le développeur de Firefox, dans un avertissement, décrivant ces deux vulnérabilités.
Concrètement, le problème est que le navigateur gère les blocs de mémoire RAM. Afin de ne pas monopoliser toutes les ressources système, le programme renvoie normalement les blocs de mémoire après avoir terminé un processus.
Le même programme ne devrait pas récupérer l'accès à un bloc de mémoire libéré qui est maintenant occupé par un autre programme, explique la société de sécurité Sophos. Cependant, il semble que Firefox accède de manière incorrecte aux blocs de mémoire lorsque le programme traite les données via le "destructeur nsDocShell"Et lors de la gestion d'un"Flux lisible.Le résultat crée un "utilisation-après-libreFaiblesse, qui peut permettre à un programme d'exécuter du code peu fiable à partir d'un bloc de mémoire.
"Dans certains cas, les bogues d'utilisation après utilisation gratuite peuvent permettre à un pirate informatique de modifier le flux de contrôle au sein d'un programme, notamment en tournant le processeur pour exécuter du code non fiable qui vient d'être intégré à partir d'une source externe. Par conséquent, contournez toutes les vérifications de sécurité habituelles du navigateur ou « êtes-vous sûr ? » Boîtes de dialogueSophos ajouté.
Selon Mozilla, ces défauts ne fonctionnent que sous certaines conditions. Néanmoins, les deux faiblesses ont été identifiées comme critiques. Heureusement, la société a publié un correctif, qui sera automatiquement diffusé aux utilisateurs au fur et à mesure Firefox versions 74.0.1 et Firefox ESR 68.6.1.
Pour vérifier si votre version est à jour, vous pouvez aller sur le bouton d'aide de votre navigateur sous Windows et sélectionner «À propos de Firefox« Pour voir quelle version vous utilisez. Sous macOS, vous pouvez accéder au panneau des préférences et faire défiler vers le bas pour voir le numéro de version.
Les enquêteurs de sécurité qui ont découvert ces vulnérabilités promettent de publier plus de détails, qui révéleront comment les pirates mènent leurs attaques. Les chercheurs disent également que d'autres navigateurs peuvent avoir le même problème.
[the_ad_group id = "966"]