Sécurité : Firefox a publié un patch correctif pour la version 72 de son navigateur visant à corriger une faille de sécurité activement exploitée par des attaquants. Cette faille peut permettre d’exécuter du code malveillant sur l’appareil ou faire crasher le processus.

Aussitôt publiée, aussitôt patchée : Mozilla a diffusé un correctif en urgence pour la version 72 de son navigateur Firefox. La faille affecte toutes les versions de Firefox ainsi que les version ESR (Extended Support Release) anterieures à 68.4.1. Ce patch vise à corriger la faille CVE-2019-17026 détectée par les chercheurs de la société chinoise Qihoo360.

Les détails exacts de la faille de sécurité n’ont pas été rendus publics, mais la description de la vulnérabilité indique que celle-ci affecte le compiler JIT IonMonkey et permettrait à un attaquant d’accéder ou d’écrire dans des zones de mémoires pourtant inaccessibles. Cette faille permet de faire crasher l’appareil, d’exécuter à distance du code malveillant sur un ordinateur vulnérable, ou encore d’accéder à des informations protégées et de contourner l’ASLR, un outil de protection mis en place sur Windows 10.

publicité

Mozilla indique que l’application de ce correctif est urgente, car des attaquants exploitent activement cette faille de sécurité. Le Cert US émet les mêmes recommandations, tout comme le Cert FR. Un correctif a été diffusé dès mardi : les versions de Firefox incluant le correctif sont les versions 72.0.1. La veille, Firefox avait déployé la version 72 de son navigateur, qui contenait déjà plusieurs correctifs pour des failles de sécurité.