Une vulnérabilité dans Firefox passée entre les mailles du filet. Un jour seulement après la parution de la v72 de Firefox corrigeant 11 vulnérabilités, Mozilla a en urgence publié une v72.01 et une mise à jour ESR 68.4.1. En effet, une faille critique déjà exploitée CVE-2019-17026 a été identifiée à la fois dans la version standard de Firefox, mais également celle bénéficiant du support étendu (ESR ou extended support release).
Il est conseillé aux utilisateurs ainsi qu'aux administrateurs système d'agir vite, et de mettre à jour dès que possible. « Des informations d'alias incorrectes dans le compilateur IonMonkey JIT pour paramétrer des éléments de tableau peuvent entraîner une confusion de type. Nous sommes au courant d'attaques ciblées en cours qui abusent de cette faille », a indiqué la fondation.
Le CISA sort du bois
Une confusion de type est une erreur critique potentielle débouchant sur l'écriture vers ou depuis des emplacements mémoire habituellement hors d'atteinte. Problème : « Ces lectures hors limites peuvent permettre à des attaquants de découvrir des emplacements de mémoire où du code malveillant peut être stocké afin que des protections telles que la configuration aléatoire d'espace d'adressage puissent être contournées », explique notre confrère Ars Technica.
« Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté », a de son côté indiqué le CISA (cybersecurity and infrastructure security agency), équivalent américain de l'ANSSI en France, rattaché au Département de la sécurité intérieure (DHS).
Commentaire