Une nouvelle faille de sécurité, jugée encore plus critique que celle découverte fin 2023, a été repérée dans Mozilla Firefox. Le groupe invite tous ses utilisateurs à réagir au plus vite en téléchargeant la dernière version du navigateur pour corriger cette vulnérabilité.
Une vulnérabilité critique CVE-2024-2615
Le 19 mars 2024, la Fondation Mozilla a mis à la disposition de tous la version 124.0 de son navigateur Firefox. Cette mise à jour a pour objectif de corriger 12 failles de sécurité, comprenant cinq vulnérabilités importantes ainsi qu’une vulnérabilité critique, identifiée sous la référence CVE-2024-2615.
Cette dernière, considérée comme la plus dangereuse, expose les utilisateurs au risque d’exécution de code arbitraire sur tout ordinateur utilisant le même navigateur si elle est exploitée par des hackers.
Cela pourrait entraîner le vol de données sensibles telles que les informations bancaires, les pièces d’identité et les mots de passe. Dans les cas les plus graves, cela pourrait même conduire au contrôle total des appareils ciblés.
Mozilla enchaine les correctifs pour protéger ses utilisateurs
Quelques jours plus tard, soit le vendredi 22 mars 2024, Mozilla a de nouveau publié une mise à jour supplémentaire de Firefox, avec la version 124.0.1.
Pour cette fois-ci, elle correspond au correctif de deux nouvelles failles de sécurité de type zero-day. Celles-ci ont été découvertes et exploitées durant la célèbre compétition de hacking Pwn2Own Vancouver 2024.
Une découverte salutaire…
C’est Manfred Paul, membre de la Trend Micro Zero Day Initiative, qui a réussi à mettre en lumière ces deux failles de sécurité de Firefox, qui n’avaient pas encore été exploitées par des pirates informatiques (heureusement). Cette découverte exceptionnelle lui a valu une récompense de 100 000 dollars.
L’une des deux failles, classée dans la catégorie « out-of-bounds write » et identifiée sous la référence CVE-2024-29943, permet également l’exécution de code à distance et, surtout, de contourner la sandbox de Mozilla Firefox.
Ceci est rendu possible en exploitant une autre faiblesse détectée dans une fonction du navigateur, connue sous l’identifiant CVE-2024-29944.
Mettez à jour sans délai votre navigateur Firefox pour vous protéger
Tous les détails techniques de ces vulnérabilités qui affectent grandement les versions desktop de Firefox sont disponibles dans le bulletin de sécurité de la fondation Mozilla.
Pour se protéger des éventuelles attaques, il faut passer en urgence à la version Firefox 124.0.1 ou Firefox ESR 115.9.1, selon vos besoins.
Les travaux admirables de Manfred Paul, vainqueur de cette édition, ont par ailleurs permis la découverte d’autres vulnérabilités dans Google Chrome, Apple Safari et Microsoft Edge.
