Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Mozilla corrige en urgence une faille critique 0-day dans Firefox

Mozilla vient de mettre à jour toutes les versions supportées de Firefox pour corriger une faille critique 0-day.

Rapportée à l’éditeur par le chercheur Samuel Groß pour le compte du Google Project Zero, la brèche peut permettre à un pirate d’exécuter à distance un code arbitraire, pouvant mener à une prise totale de contrôle. Soit le pire des scénarios.

Estampillée CVE-2019-11707, la vulnérabilité peut affecter tout utilisateur de Firefox sur ordinateur, donc sous Linux, macOS ou Windows. Elle réside dans la manière dont Firefox manipule des objets JavaScript à cause d’un problème dans Array.pop, le navigateur souffrant d’une « confusion de types ». Aucun détail supplémentaire ni prototype d’exploitation n’a encore été révélé.

Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.

12 commentaires
Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 19/06/19 à 11:27:07

Aucun prototype d'exploitation mais déjà exploitée ? :-)
Comment savent ils qu'elle est exploitée ?

Avatar de marba Abonné
Avatar de marbamarba- 19/06/19 à 12:11:56

grsbdl a écrit :

Aucun prototype d'exploitation mais déjà exploitée ? :-)
Comment savent ils qu'elle est exploitée ?

Il n'est pas écrit qu'elle est déjà exploitée.

Avatar de Uther Abonné
Avatar de UtherUther- 19/06/19 à 12:37:27

C'est la définition d'une faille zéro day.

Avatar de XXC Abonné
Avatar de XXCXXC- 19/06/19 à 12:46:17

Les utilisateurs de l’actuelle branche principale peuvent récupérer depuis l’À propos la mouture 67.0.3. La branche ESR elle aussi est mise à jour avec la 60.7.1. L’installation des correctifs est d’autant plus urgente que la faille est déjà exploitée.

Avatar de Nozalys Abonné
Avatar de NozalysNozalys- 19/06/19 à 12:57:02

C'est "0-day" tant que personne ne prouve le contraire en fait...

Avatar de RaoulC INpactien
Avatar de RaoulCRaoulC- 19/06/19 à 16:20:28

J'imagine que si on désactive Javascript cette faille n'est pas un problème?

Je pense aux utilisateurs (trices) de TorBrowser.

Avatar de Uther Abonné
Avatar de UtherUther- 19/06/19 à 16:23:26

Non, c'est plutôt l'inverse : une faille n'est normalement pas considérée zéro day, à moins qu'on ait détecté une utilisation de la faille par un tiers.

Sinon quasiment toutes les failles seraient 0 day, vu qu'il est généralement impossible de prouver qu'une faille n'a pas été utilisée.

Édité par Uther le 19/06/2019 à 16:25
Avatar de Wawet76 Abonné
Avatar de Wawet76Wawet76- 19/06/19 à 16:55:00

Bah ils sont peut-être simplement tombé sur un méchant site qui l'exploitait.

"Aucun prototype d'exploitation n'a encore été révélé", ça ne veut pas dire qu'il n'en existe aucun...

Avatar de Cumbalero Abonné
Avatar de CumbaleroCumbalero- 19/06/19 à 17:40:11

Wawet76 a écrit :

Bah ils sont peut-être simplement tombé sur un méchant site qui l'exploitait.

"Aucun prototype d'exploitation n'a encore été révélé", ça ne veut pas dire qu'il n'en existe aucun...

Samuel Groß en a très probablement joint un avec son rapport, mais il il n'est pas public. Faire un POC, décrire (comme dans un rapport de bug) comment se mettre dans la situation où le souci se produit... Il ne s'agit pas nécessairement de montrer les dégâts que ça peut faire. Si j'arrive à prouver que j'ai accès à telle ou telle ressource hors du navigateur, je n'ai pas à aller plus loin dans ma démonstration.

Avatar de macmc INpactien
Avatar de macmcmacmc- 19/06/19 à 21:55:10

XXC a écrit :

La phrase finale ne désigne pas la faille cité dans l'article mais une généralité. Certes, elle est mal amené.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2