Mozilla sort Firefox 67.0.3 pour corriger cette faille. La dernière fois que l’équipe Mozilla a patché une zero-day sur Firefox, c’était en décembre 2016.

L’équipe Mozilla a publié la version 67.0.3 du navigateur Firefox pour répondre à une vulnérabilité critique qui est utilisée pour abuser les utilisateurs de Firefox. « Une vulnérabilité peut survenir lors de la manipulation d’objets JavaScript en raison de problèmes dans Array.pop » ont écrit les ingénieurs de Mozilla dans un avis de sécurité.

« Cela peut permettre un crash exploitable » ont-ils ajouté. « Nous sommes au courant d’attaques ciblées qui abusent de cette faille. »

Samuel Groß, un chercheur en sécurité de Google Project Zero, et l’équipe de sécurité de Coinbase ont été crédités d’avoir découvert cette faille zero-day sur Firefox — connue comme CVE-2019-11707.

En dehors de la courte description affichée sur le site Mozilla, il n’y a pas d’autres détails concernant cette faille de sécurité ou les attaques en cours. En se basant sur la personne qui a signalé la faille de sécurité, on peut supposer sans risque de se tromper que la faille de sécurité a été exploitée lors d’attaques visant les détenteurs de crypto-monnaies.

Samuel Groß n’a pas répondu à une demande de commentaires de ZDNet visant à obtenir des détails supplémentaires sur les attaques.

Les failles zero-days sur Firefox sont assez rares. La dernière fois que l’équipe Mozilla a patché une zero-day sur Firefox, c’était en décembre 2016, lorsque l’éditeur avait corrigé une faille de sécurité utilisée à l’époque pour exposer et désanonymiser les utilisateurs du navigateur Tor, un navigateur qui permet d’aller sur le web avec une forte confidentialité.

Un autre fabricant de navigateurs, Google, a patché une faille zéro day dans son navigateur en mars de cette année. La faille zero-day était utilisé en combinaison avec une faille zero-day Windows 7 dans le cadre d’une chaîne d’exploitation complexe.

Source zdnet.fr