Firefox publie un correctif de sécurité important suite à une vulnérabilité de type "jour-zéro"

Samuel Groß, chercheur en cybersécurité chez Google Project Zero a découvert une vulnérabilité sur le navigateur Web Firefox.

Mozilla a publié les versions de Firefox 67.0.3 et Firefox ESR 60.7.1 pour corriger une vulnérabilité critique de type « jour-zéro » dans le logiciel de navigation; il est avéré que des pirates informatiques ont exploité la vulnérabilité.

 

Détails techniques :

CVE-2019-11707 [Score CVSSv3 8.8] : Selon un avis sur le site de Mozilla, la faille a été qualifiée de vulnérabilité de confusion de type dans Firefox, pouvant entraîner une erreur dans le navigateur qui est alors exploitable en raison de problèmes survenant lors de la manipulation d'objets JavaScript dans Array.pop.

La vulnérabilité concerne les versions de Firefox pour ordinateur de bureau (Windows, macOS et Linux) - alors que Firefox pour Android, iOS et Amazon Fire TV ne sont pas concernés.

Très peu d’informations sur la vulnérabilité et les attaques potentielles sont publiques, car le rapport Bugzilla est actuellement restreint et car Google Project Zero n’a pas publié de blog à ce sujet.

Il est conseillé aux utilisateurs de télécharger les dernières versions de Firefox 67.0.3 et Firefox (Extended Support Release) 60.7.1 ou ultérieure.

Informations
+

Risques

  • Exécution de code arbitraire
  • Exécution de code à distance

Criticité

  • Score CVSS : 8.80

Existence d’un code d’exploitation de la vulnérabilité

  • Aucune preuve de concept n'est disponible pour cette faille.

Composants & versions vulnérables

  • Toutes les versions antérieures à Firefox 67.0.3 et Firefox ESR 60.7.1

CVE

  • CVE-2019-11707

Recommandations
+

Mise en place de correctif de sécurité

  • Mozilla a corrigé la faille sur les versions Firefox 67.0.3 et Firefox ESR 60.7.1

Solution de contournement

  • Aucune solution de contournement n’a été proposée