Mozilla corrige une nouvelle vulnérabilité présente sur Firefox, Firefox ESR et Thunderbird

Le 20 juin, l'équipe de développement de Mozilla a publié un bulletin de sécurité corrigeant une vulnérabilité considérée comme importante (le bulletin de Thunderbird fait également mention d'une vulnérabilité critique déjà traitée ici). Un attaquant pourrait exploiter cette vulnérabilité afin d’effectuer une exécution de code arbitraire sur Firefox, Firefox ESR et Thunderbird. Cette attaque serait difficile à mettre en œuvre mais ne nécessiterait aucun niveau d'authentification. L'impact estimé sur la confidentialité et l'intégrité des données est élevé.

Firefox est un navigateur web libre et gratuit, développé et distribué par la Mozilla Foundation avec l'aide de milliers de bénévoles. Mozilla Firefox ESR (Extended Support Release) est une version du navigateur web offrant un bon support fait pour les organisations. Thunderbird est un client de messagerie libre distribué par la fondation Mozilla, il partage une partie du code source du navigateur Firefox. 

Détails techniques :

CVE-2019-11708 [Score CVSSv3 10.0] : La vulnérabilité est issue d’une vérification insuffisante des paramètres entre les processus enfant et parent transmis par les messages interprocessus (IPC) Prompt:Open IPC, qui sont transmis entre les différents processus du navigateur. Un processus enfant compromis peut engendrer l’ouverture de contenu web par le processus parent en contournant l'environnement normalement cloisonné mis en place par ce dernier ("sandbox"). Combiné avec une autre vulnérabilité présente, un attaquant pourrait alors exploiter une telle faille pour exécuter du code arbitraire à distance.

Des correctifs ont été publiés par Mozilla et sont disponibles au téléchargement depuis le 20 juin. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.