Deux vulnérabilités critiques ont été repérées dans Firefox, le navigateur web de Mozilla. Des correctifs sont toutefois disponibles depuis le 3 avril. La mise à jour du logiciel ne doit pas attendre : il a été constaté que ces failles sont exploitées à des fins malveillantes.

C’est une mise à jour qui n’était pas prévue au programme, mais qui était requise étant donné les circonstances. Le 3 avril 2020, Mozilla a sorti une nouvelle version de Firefox. Dans celle-ci, numérotée 74.0.1, aucune fonctionnalité pour le navigateur web n’est livrée. En revanche, elle vient résoudre deux très graves vulnérabilités qui ont été découvertes dans le comportement du logiciel.

Très graves, parce que ces deux failles sont exploitées par des tiers malveillants pour des attaques ciblées, prévient Mozilla dans ses notes de mise à jour. L’une d’elles affecte l’API Streams, qui autorise du code JavaScript, un langage de programmation, à accéder à des flux de données en provenance du réseau. Dans certaines conditions, l’instruction ReadableStream peut ainsi servir de vecteur d’attaque.

Comment mettre à jour Firefox

Le téléchargement de la toute dernière version de Firefox peut se faire en restant dans le navigateur web : cliquez sur « Aide » dans le menu, en haut du logiciel, et sélectionnez « À propos de Firefox » dans le menu déroulant. Une nouvelle fenêtre apparaîtra alors au centre de l’écran. Vous verrez notamment le numéro de version de Firefox. S’il n’est pas le plus récent, le téléchargement de la dernière version débutera immédiatement. Redémarrez le logiciel lorsqu’il vous y invite à le faire.

Firefox 74.0.1
La bonne version à utiliser est, en date du 6 avril, numérotée Firefox 74.0.1.

Il est à noter que l’alerte concerne aussi une autre déclinaison un peu spéciale de Firefox, dite Firefox ESR (acronyme d’Extended Support Release, c’est-à-dire une version ayant droit à une durée de support prolongée, et qui s’adresse plutôt aux entreprises). La bonne version à récupérer est numérotée 68.6.1. Là encore, la mise à jour se fait de la même façon. À noter que Firefox ESR n’inclut pas les toutes dernières nouveautés de Firefox.

Le téléchargement de Firefox peut aussi se faire depuis le site web de Mozilla.

Il est hautement conseillé d’appliquer la mise à jour, dans la mesure où celle-ci est très simple à réaliser et qu’il a été observé une utilisation active de ces failles pour nuire à des individus. Le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), est évidemment sur cette ligne, tout comme son homologue américain.

Partager sur les réseaux sociaux