COMPTOIR
  
register

Composé par ————— —— 10971 vues

Firefox également rustiné d'une faille 0-day, mettez à jour !

Ironie du sort, alors que nous rapportions une faille bien embarrassante touchant Safari, le navigateur d’Apple, voilà qu’une nouvelle vulnérabilité fait parler d’elle, qui touche un de ses concurrents : Firefox. Triste semaine pour le panda roux, qui s’était déjà fait dépasser en termes de nombre d’utilisateurs par Edge il y a deux jours.

 

firefox babe

Pourtant, il y avait de la protection...

 

Pour le moment, la firme n’a pas communiqué beaucoup de détails, si ce n’est qu’il existe en fait deux vulnérabilités : CVE-2020-6819 et CVE-2020-6820, — actuellement sans détails techniques dans la base —, toutes deux concernant un use-after-free, respectivement lors de la destruction de certaines données liées à la fermeture d’une page web (destructeur de la classe nsDocShell) et lors de la manipulation de flux de données (utilisation de ReadableStream). Concrètement, dans certains cas, le navigateur peut aller lire des données dans une zone mémoire qu’il a précédemment libérée et qui, par conséquent, ne lui appartient plus. De coup, il devient parfois possible d’abuser le navigateur, par exemple en mettant à la place du code JavaScript permettant de gagner des droits d’exécution arbitraire de code... Cela dépend de l’endroit où se situe la faille. Parfois, l’accès se limite à la corruption d’icône, de part de la page web et autres bugs mineurs ; sauf que, dans notre cas, Mozilla est au courant que des exploitations ont été effectuées, quelque part, sur le net.

 

Bien que nous n’en savons pas plus sur la méthode exacte de l’abus, la maison-mère considère ces failles comme « critiques », de vous donner la chair de poule. Face à cela, une seule solution : la mise à jour illico ! Si vous êtes sur une version antérieure ou égale à la 74.0, sortez le modem, il faudra passer à la 74.0.1, ou mieux, la 75.0 qui vient tout juste de sortir. Pour la version ESR (Extended Support Release), c’est vers la 68.6.1 qu’il faudra évoluer, et, finalement, pour le Tor Browser, également basé sur Firefox, rendez-vous sur la 9.0.8 ! (Source : Naked Security)

 

Pour télécharger, c’est par ici !
Un poil avant ?

SK Hynix sort ses nouveaux SSD PE8010 et PE8030 en PCIe 4.0

Un peu plus tard ...

Enfin une vraie nouveauté GeForce MX à l'horizon, à base de Turing et GDDR6 ?

Les 12 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur qui pipotronne en Provence-Alpes-Côte d'Azur, le Jeudi 09 Avril 2020 à 06h50  
Et en ESR déjà un paquet amd64 68.7.0esr-1 [48,2 MB]
par Un ragoteur sans nom des Pays de la Loire, le Mercredi 08 Avril 2020 à 21h20  
par Mitsu, le Mercredi 08 Avril 2020 à 15h41
Je ferai certainement davantage confiance à Firefox, logiciel libre/open source et à la liberté du code source que n'importe quel navigateur dit "fermé"
Brave-browser est libre open source
par Mitsu, le Mercredi 08 Avril 2020 à 15h41  
par Un champion du monde des Pays de la Loire, le Mercredi 08 Avril 2020 à 13h01
Malheureusement ça fais bien longtemps que le renard n'est plus vraiment digne de confiance

Personnellement je suis passer à Brave-browser, c'est le jour et la nuit !
Je ferai certainement davantage confiance à Firefox, logiciel libre/open source et à la liberté du code source que n'importe quel navigateur dit "fermé"
par Un champion du monde des Pays de la Loire, le Mercredi 08 Avril 2020 à 13h01  
par Darth Moule, le Mercredi 08 Avril 2020 à 08h53
J'ai bien lu et bien compris que Mozilla sait, depuis une durée indéterminée, que la faille existe mais surtout qu'elle a été exploitée ??
Et moi qui faisait confiance à ce doux petit renard aux formes rondes et attrayantes...
Malheureusement ça fais bien longtemps que le renard n'est plus vraiment digne de confiance

Personnellement je suis passer à Brave-browser, c'est le jour et la nuit !
par Nicolas D., le Mercredi 08 Avril 2020 à 12h09  
par Un ragoteur de transit en Nouvelle-Aquitaine, le Mercredi 08 Avril 2020 à 11h47
0-day -> faille non exploité
Et une faille ça se rustine pas par magie, ça prend du temps.
Non, zéro-day ca veut dire : encore non patchée, présente depuis le jour 0 ; maintenant c'est rustiné donc techniquement ça n'est plus zéro-day
par Darth Moule, le Mercredi 08 Avril 2020 à 11h53  
par Darth Moule, le Mercredi 08 Avril 2020 à 11h52
0-day ne signifie pas juste "non reporté par l'éditeur" ? ça ne signifie pas que ça n'a pas été exploité. D'autant plus qu'à la lecture de la news, il semble bien que ça soit le cas et que Mozilla était au courant :
[quote name='La news']
Parfois, l'accès se limite à la corruption d'icône, de part de la page web et autres bugs mineurs?; sauf que, dans notre cas, Mozilla est au courant que des exploitations ont été effectuées, quelque part, sur le net.
Pour la création d'une rustine, oui ça prend du temps, d'où ma question : depuis combien de temps sont-ils au courant ? [/quote]
Message de Darth Moule supprimé par un modérateur : ça arrive :)
par Un ragoteur de transit en Nouvelle-Aquitaine, le Mercredi 08 Avril 2020 à 11h47  
par Darth Moule, le Mercredi 08 Avril 2020 à 08h53
J'ai bien lu et bien compris que Mozilla sait, depuis une durée indéterminée, que la faille existe mais surtout qu'elle a été exploitée ??
Et moi qui faisait confiance à ce doux petit renard aux formes rondes et attrayantes...
0-day -> faille non exploité
Et une faille ça se rustine pas par magie, ça prend du temps.
par Darth Moule, le Mercredi 08 Avril 2020 à 08h53  
J'ai bien lu et bien compris que Mozilla sait, depuis une durée indéterminée, que la faille existe mais surtout qu'elle a été exploitée ??
Et moi qui faisait confiance à ce doux petit renard aux formes rondes et attrayantes...
par Dylem, le Mercredi 08 Avril 2020 à 08h12  
par Nicolas D., le Mercredi 08 Avril 2020 à 08h06
Ils nous trollent, pas d'autre moyen
En réponse au troll du début de l'article.
par Nicolas D., le Mercredi 08 Avril 2020 à 08h06  
par Dylem, le Mercredi 08 Avril 2020 à 07h11
Firefox 75.0 vient juste de sortir.
Ils nous trollent, pas d'autre moyen
par Dylem, le Mercredi 08 Avril 2020 à 07h11  
Firefox 75.0 vient juste de sortir.