Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Firefox 116 correctifs élevés
Firefox 116 a été publié avec des correctifs pour 14 CVE, dont neuf vulnérabilités de haute gravité, dont certaines peuvent conduire à l'exécution de code à distance ou à des évasions de bac à sable.
Par
Tableau à feuilles mobiles
Mozilla a annoncé mardi la sortie de Firefox 116, Firefox ESR 115.1 et Firefox ESR 102.14, qui incluent des correctifs pour plusieurs vulnérabilités de haute gravité.
Le fabricant de navigateurs répertorie un total de 14 CVE dans son avis, dont neuf sont classés « de haute gravité ». Trois des CVE font référence à des bogues de sécurité de la mémoire dans Firefox.
La première des failles de haute gravité, identifiée comme CVE-2023-4045, est décrite comme un contournement des restrictions d'origine croisée dans Offscreen Canvas, qui n'a pas réussi à suivre correctement la contamination d'origine croisée.
Le problème peut permettre aux pages Web d'afficher des images affichées dans une page d'un autre site, note Sophos dans une analyse de la mise à jour. Les navigateurs incluent une politique de même origine qui empêche le code HTML et JavaScript provenant d'un site Web d'accéder au contenu d'autres sites.
Le deuxième problème de haute gravité corrigé par Firefox 116 est CVE-2023-4046, décrit comme l'utilisation d'une valeur incorrecte lors de la compilation WASM.
« Dans certaines circonstances, une valeur obsolète aurait pu être utilisée pour une variable globale dans l'analyse WASM JIT. Cela a entraîné une compilation incorrecte et un crash potentiellement exploitable dans le processus de contenu », note Mozilla.
La mise à jour du navigateur résout également CVE-2023-4047, un contournement de demande d'autorisation via le détournement de clic. Une page pourrait inciter les utilisateurs à cliquer sur un élément soigneusement placé, mais à la place enregistrer l'entrée comme un clic sur une boîte de dialogue de sécurité qui n'était pas affichée à l'utilisateur.
« Les autorisations potentiellement risquées, telles que l'accès à votre position, l'envoi de notifications, l'activation du microphone, etc., ne sont pas censées être accordées tant que vous n'avez pas vu et réagi en conséquence à un avertissement clair du navigateur lui-même », note Sophos.
Les trois autres vulnérabilités de haute gravité résolues par Firefox 116 incluent CVE-2023-4048 (une faille de lecture hors limites provoquant le crash de DOMParser lors de la déconstruction d'un fichier HTML contrefait), CVE-2023-4049 (conditions de concurrence conduisant à des vulnérabilités potentiellement exploitables). vulnérabilités d'utilisation après libération) et CVE-2023-4050 (débordement de tampon de pile dans StorageManager conduisant potentiellement à une fuite du bac à sable).
Suivis sous les noms CVE-2023-4056, CVE-2023-4057 et CVE-2023-4058, les bogues de sécurité de la mémoire résolus dans Firefox 116 auraient pu conduire à l'exécution de code arbitraire.
Selon Mozilla, la plupart de ces problèmes de grande gravité ont également un impact sur le support étendu de Firefox et Thunderbird, et ont été résolus dans Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 et Thunderbird 102.14.
Mozilla ne mentionne aucune de ces vulnérabilités exploitées lors d'attaques.
En rapport:Firefox 115 corrige des vulnérabilités d'utilisation après libération à haute gravité
En rapport:Mozilla corrige des vulnérabilités de haute gravité avec la sortie de Firefox 111
En rapport:Firefox met à jour les vulnérabilités de haute gravité du patch 10
Ionut Arghire est correspondant international de SecurityWeek.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
Penser au bon, au mauvais et au laid maintenant est un processus qui nous offre « une vision négative pour survivre, mais une vision positive pour prospérer. » (Marc Solomon)
Le partage d'informations sur les menaces et la coopération avec d'autres groupes de renseignement sur les menaces contribuent à renforcer la protection des clients et à accroître l'efficacité du secteur de la cybersécurité dans son ensemble. (Derek Manky)