Une mise à jour a été poussée en urgence pour le navigateur web Firefox. Une faille critique a été repérée et il s’avère qu’elle est utilisée pour des attaques.

Attention si vous surfez avec Firefox : une faille de sécurité critique vient d’être décelée dans le navigateur web de la fondation Mozilla. La mauvaise nouvelle, c’est que cette vulnérabilité est déjà exploitée pour s’en prendre aux internautes. La bonne, c’est qu’un correctif est disponible depuis le 18 juin. Avec la version 67.0.3 de Firefox, la brèche n’est plus exploitable.

Pour obtenir la toute dernière version de Firefox, ouvrez le navigateur et cliquez sur le point d’interrogation dans la barre de menu. Sélectionnez la ligne «  À propos de Firefox » et lancez le téléchargement si jamais il ne démarre pas automatiquement. Redémarrez le logiciel pour finaliser l’installation. Il est peut-être possible que la version 67.0.3 se soit automatiquement installée au démarrage de Firefox.

Le nouveau logo de la marque Firefox. // Source : Mozilla

Le nouveau logo de la marque Firefox.

Source : Mozilla

Une faille exploitée pour des attaques

Dans un bulletin de sécurité, quelques explications sur la nature de la faille sont données : on y comprend qu’il s’agit d’une vulnérabilité qui peut se déclencher en manipulant des éléments JavaScript à cause de problèmes dans la méthode Array.pop (qui permet de supprimer le dernier élément d’un tableau JavaScript). Il est aussi signalé que le bug profite d’une confusion sur le type de données en JavaScript.

« Nous sommes au courant d’attaques ciblées qui abusent de cette faille », met en garde la fondation Mozilla. Signe de la gravité de la situation, le centre américain de veille, d’alerte et de réponse aux attaques informatiques (US-CERT) a publié une recommandation de la toute nouvelle agence CISA (Cybersecurity and Infrastructure Security Agency) invitant tout le monde à faire la mise à jour.

La découverte de la vulnérabilité est à mettre au crédit de Samuel Groß, un membre du Projet Zéro de Google, et des équipes de sécurité de Coinbase, une populaire plateforme d’échange de cryptomonnaie. Quant au Projet Zéro, il s’agit d’une équipe qui s’efforce de repérer les vulnérabilités critiques dans les logiciels. Fondé en 2014, le Projet Zéro a à son crédit un sacré tableau de chasse.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.