Intelligence de données générative

Cyber sécurité

Firefox corrige une série de failles dans la première des deux versions de ce mois-ci

Réédité par Platon
Réédité par Platon

Date :

Vues: 82
by Paul Canard

Le dernier nouvelle version complète de Firefox est sorti, marquant la première des deux mises à jour « mensuelles » que vous verrez ce mois-ci.

Tout comme il y aura une lune bleue en août 2023 (c'est le nom appliqué à une deuxième pleine lune au cours du même mois civil, plutôt qu'une référence à un phénomène atmosphérique qui rend la lune bleue, au cas où vous vous le demanderiez), il y aura être un Firefox bleu aussi.

Les mises à niveau de la version de Firefox ont lieu tous les 28 jours, plutôt qu'une fois par mois, donc chaque fois qu'une version sort assez tôt dans le mois, une deuxième mise à niveau sera insérée à la fin.

Moments d'apprentissage

Heureusement, il n'y a pas de vulnérabilités zero-day cette fois, mais ce qui suit rapports de bugs a attiré notre attention :

  • CVE-2023-4045 : Offscreen Canvas aurait pu contourner les restrictions d'origine croisée. Une page Web peut jeter un coup d'œil aux images affichées sur une autre page d'un site différent. La politique de même origine dans les navigateurs est censée restreindre la portée du contenu HTML et JavaScript du site X afin qu'il puisse accéder aux formulaires, données, images, cookies et autres uniquement s'ils proviennent eux aussi à l'origine du site X. Toutes les astuces qui peuvent contourner cette protection de même origine peut théoriquement être utilisée pour aspirer ce que l'on appelle origine croisée des données qui ne devraient pas être accessibles du tout.
  • CVE-2023-4047 : Contournement potentiel des demandes d'autorisations via le détournement de clics. Une page malveillante pourrait vous inciter à cliquer sur un élément soigneusement placé, tel qu'un bouton d'apparence entièrement innocente, uniquement pour que l'entrée s'enregistre comme un clic dans une boîte de dialogue de sécurité qui n'apparaît pas à temps pour que vous puissiez le voir. Les autorisations potentiellement risquées, telles que l'accès à votre emplacement, l'envoi de notifications, l'activation du microphone, etc., ne sont pas censées être accordées tant que vous n'avez pas vu et agi en fonction d'un avertissement clair du navigateur lui-même.
  • CVE-2023-4048 : Crash dans DOMParser en raison de conditions de mémoire insuffisante. DOM est l'abréviation de modèle d'objet de document, et le DOMParser est le code qui déconstruit le code HTML d'une page Web que le navigateur rend pour l'affichage, le transformant en un gros objet de données JavaScript dans lequel tous les composants individuels tels que les paragraphes, les en-têtes, les images, les éléments de tableau, etc. peuvent être consultés et modifiés par programmation. Les pages complexes se transforment généralement en grandes structures JavaScript qui peuvent prendre beaucoup de mémoire à comprendre puis à stocker. Supposons qu'un attaquant déterminé puisse délibérément consommer de la mémoire en chargeant un certain nombre de pages volumineuses mais innocentes, puis déclencher de manière prévisible un plantage en utilisant un fichier HTML spécialement conçu qui est récupéré au mauvais moment.
  • CVE-2023-4050 : Débordement de tampon de pile dans StorageManager. Il s'agit d'un débordement de pile à l'ancienne qui n'est pas détecté à temps par Firefox lui-même, et pourrait donc entraîner un plantage au lieu d'un arrêt contrôlé. Tous les plantages causés par le flux d'exécution incorrect dans un programme (comme le saut vers une adresse mémoire invalide X) doivent être considérés comme potentiellement exploitables. Supposons qu'un attaquant déterminé puisse comprendre comment influencer la valeur de X, et ainsi obtenir au moins une certaine mesure de contrôle malveillant sur le crash.
  • CVE-2023-4051 : Notification plein écran masquée par la boîte de dialogue d'ouverture de fichier. Le mode plein écran est toujours un peu risqué, car il donne à la page Web que vous consultez un contrôle précis sur chaque pixel de l'écran. Cela signifie qu'aucune partie de l'affichage ne peut être modifiée uniquement par le navigateur lui-même ou uniquement par le système d'exploitation. C'est pourquoi les navigateurs visent à vous avertir avant de donner tout l'affichage à une page Web, vous savez donc que les fenêtres contextuelles qui ressemblent à des boîtes de dialogue officielles du navigateur ou du système d'exploitation peuvent ne pas être telles.
  • CVE-2023-4057 et CVE-2023-4058 : Bogues de sécurité de la mémoire corrigés dans diverses versions de Firefox. Comme d'habitude, même si aucun de ces bogues n'était manifestement exploitable, et qu'ils ont été corrigés de manière proactive de toute façon, Mozilla les a notés "élevés" et compte tenu de son évaluation toujours franche selon laquelle "Nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire."

Que faire?

Les nouvelles versions que vous recherchez après la mise à jour sont :

  • Firefox 116 si vous êtes sur la dernière version.
  • Firefox ESR 115.1 si vous êtes un utilisateur de la version de support étendu, qui inclut des correctifs de sécurité mais n'ajoute pas de nouvelles fonctionnalités. (L'ajout de 115 + 1 à partir du numéro de version ESR vous indique que cette version s'aligne sur Firefox 116 pour les correctifs de sécurité, même si son ensemble de fonctionnalités s'aligne sur Firefox 115.)
  • Thunderbird 115.1 si vous utilisez le logiciel de messagerie de Mozilla, qui inclut le code de navigation Web Firefox pour afficher les e-mails HTML et afficher les liens Web envoyés par e-mail.

Se diriger vers Firefox -> À propos de Firefox si vous avez un Mac, ou d’aide -> À propos de Firefox sur d'autres plateformes.

N'oubliez pas, si vous utilisez l'un des BSD ou une distribution Linux, que votre version de Firefox peut être gérée par la distribution elle-même, alors vérifiez auprès de votre fournisseur pour les mises à jour.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.