+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Faille zero day dans Firefox (/showthread.php?tid=2678)
Faille zero day dans Firefox - Khest - 28-01-2020
Attention! Utilisez-vous Firefox comme logiciel de navigation Web sur vos systèmes Windows, Linux ou Mac?
Si oui, vous devez immédiatement mettre à jour votre navigateur Web Firefox gratuit et open-source vers la dernière version disponible sur le site Web de Mozilla.
Pourquoi l'urgence? Plus tôt dans la journée, Mozilla a publié les versions de Firefox 72.0.1 et Firefox ESR 68.4.1 pour corriger une vulnérabilité critique zero-day dans son logiciel de navigation qu'un groupe de pirates informatiques exploite activement dans la nature.
Suivi comme "CVE-2019-17026 '', le bug est une "type confusion vulnerability'' critique qui réside dans le compilateur IonMonkey just-in-time (JIT)du moteur JavaScript SpiderMonkey de Mozilla.
En général, une vulnérabilité de confusion de type se produit lorsque le code ne vérifie pas à quels objets il est transmis et l'utilise à l'aveugle sans vérifier son type, ce qui permet aux attaquants de bloquer l'application ou de réaliser l'exécution du code.
![[Image: firefox-Vulnerability.jpg]](https://1.bp.blogspot.com/-SMptP7NEUKs/Xhb9fXJ1wzI/AAAAAAAA2Js/b2fdSJo04I0SkoV5nY31Igq8Hu3ILOH9wCLcBGAsYHQ/s728-e100/firefox-Vulnerability.jpg)
Sans révéler de détails sur la faille de sécurité et aucun détail sur les cyberattaques potentielles en cours, Mozilla a déclaré que "des informations d'alias incorrectes dans le compilateur IonMonkey JIT pour définir les éléments du tableau pourraient entraîner une confusion de type".
Cela signifie que le problème dans le composant vulnérable du moteur JavaScript peut être exploité par un attaquant distant simplement en incitant un utilisateur sans méfiance à visiter une page Web conçue de manière malveillante pour exécuter du code arbitraire sur le système dans le contexte de l'application.
La vulnérabilité a été signalée à Mozilla par des chercheurs en cybersécurité de Qihoo 360 ATA, qui n'ont pas encore divulgué d'informations sur leur enquête, leurs conclusions et leur exploitation.
Bien que Firefox, par défaut, installe automatiquement les mises à jour lorsqu'elles sont disponibles et active une nouvelle version après un redémarrage, vous pouvez toujours effectuer une mise à jour manuelle à l'aide de la fonctionnalité intégrée en accédant à Menu> Aide> À propos de Mozilla Firefox.