L’agence de cybersécurité et d’infrastructures de sécurité (CISA) américaine a révélé que Mozilla avait publié des correctifs pour Firefox 74.0.1 et sa version ESR 68.6.1 (avec un support longue durée) après avoir découvert deux failles zero-day. Ces dernières ont été exploitées. Elles créent une vulnérabilité « use-after-free », une forme de corruption de la mémoire que les pirates peuvent utiliser pour exécuter du code malveillant à distance.
La faille CVE-2020-6819 existe sous certaines conditions lors de l'exécution du destructeur nsDocShell. L’autre brèche, nommée CVE-2020-6820, existe sous certaines conditions lors de la manipulation d'un ReadableStream. Pour les deux vulnérabilités, une situation temporelle (ou « race condition ») peut provoquer un cas de « use-after-free ». Mozilla n'a pas fourni de détails sur la façon dont les pirates ont exploité ces défauts dans le code de son navigateur. La CISA encourage les utilisateurs à appliquer les correctifs nécessaires.
Commentaire