Mozilla a publié 10 correctifs pour trois versions de son navigateur Firefox mardi, dont cinq sont considérés comme critiques, les failles pouvant être exploitées pour installer un code malveillant à distance. L'US-Cert (Computer Emergency Readiness Team), département de la sécurité intérieure aux Etats-Unis, a alerté sur le fait que ces problèmes « pourraient permettre à un attaquant d'exécuter du code arbitraire à distance, de contourner les restrictions d'accès, de provoquer un déni de service ou d'obtenir des informations sensibles. » Les logiciels concernés sont Firefox 25, ESR (Extended Support Release) 24.1, et 17.0.10, ainsi que Thunderbird (24.1, ESR 17.0.10) et Seamonkey 2.22, une suite d'applications et d'outils de développement web.
Ont été colmatés plusieurs bugs concernant la mémoire dans le moteur du navigateur qui figure également dans le client de messagerie Thunderbird et dans Seamonkey. Ces bugs, décrits dans le bulletin MFSA 2013-93, « ont montré des preuves de corruption de mémoire dans certaines circonstances, et nous présumons qu'avec suffisamment d'efforts au moins certains d'entre eux pourraient être exploités pour exécuter du code arbitraire », indique Mozilla. Les quatre autres vulnérabilités critiques pourraient causer des accidents potentiellement exploitables, a ajouté l'éditeur. L'une d'elles, identifiée comme étant à haut risque (MFSA 2013-99) serait en mesure de divulguer des informations sur le système local d'un ordinateur.
En août, le réseau d'anonymisation Tor avait averti sur une vulnérabilité dans Firefox ESR pouvant être utilisée pour collecter des données sur des ordinateurs en visitant les sites web configurés en tant que services cachés du système.
Mozilla publie 10 correctifs, dont 5 critiques pour Firefox
1
Réaction
Les patchs livrés par Mozilla corrigent des failles dans Firefox, dans le service de messagerie Thunderbird et dans la suite logicielle Seamonkey.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
" Les logiciels affectés sont Firefox 25"
Signaler un abusNon 25 corrige le probleme