La Fondation Mozilla a publié un correctif pour combler la faille CVE-2019-17026 actuellement exploitée dans Firefox permettant à un pirate de prendre le contrôle d’un système à distance. La mise à jour vers la v72.01 et la ESR 68.4.1 du navigateur est très fortement conseillée.
Les dernières v72.01 et ESR 68.4.1. de Firefox corrigent une vulnérabilité critique dans le compilateur IonMonkey JIT. (crédit : Mozilla)
Une vulnérabilité dans Firefox passée entre les mailles du filet. Un jour seulement après la parution de la v72 de Firefox corrigeant 11 vulnérabilités, Mozilla a en urgence publié une v72.01 et une mise à jour ESR 68.4.1. En effet, une faille critique déjà exploitée CVE-2019-17026 a été identifiée à la fois dans la version standard de Firefox, mais également celle bénéficiant du support étendu (ESR ou extended support release).
Il est conseillé aux utilisateurs ainsi qu’aux administrateurs système d’agir vite, et de mettre à jour dès que possible. « Des informations d’alias incorrectes dans le compilateur IonMonkey JIT pour paramétrer des éléments de tableau peuvent entraîner une confusion de type. Nous sommes au courant d’attaques ciblées en cours qui abusent de cette faille », a indiqué la fondation.
Le CISA sort du bois
Une confusion de type est une erreur critique potentielle débouchant sur l’écriture vers ou depuis des emplacements mémoire habituellement hors d’atteinte. Problème : « Ces lectures hors limites peuvent permettre à des attaquants de découvrir des emplacements de mémoire où du code malveillant peut être stocké afin que des protections telles que la configuration aléatoire d’espace d’adressage puissent être contournées », explique notre confrère Ars Technica.
« Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle d’un système affecté », a de son côté indiqué le CISA (cybersecurity and infrastructure security agency), équivalent américain de l’ANSSI en France, rattaché au Département de la sécurité intérieure (DHS).