Support technique
Documentation
Connexion
Nous contacter
Firefox 117 corrige 4 vulnérabilités de corruption de mémoire
Rohan Timalsina
14 septembre 2023 - L'équipe d'experts de TuxCare
Au cours de sa phase bêta, Firefox 117 a introduit une nouvelle fonctionnalité intéressante qui était déjà présente dans d'autres navigateurs : unmoteur de traduction de sites web intégré qui effectue toutes les traductions localement dans votre navigateur web, en gardant la sécurité à l'esprit. Malheureusement, cette fonctionnalité très attendue n'a pas été intégrée dans la version finale.
La dernière version de Firefox 117 apporte de nouvelles fonctionnalités et améliorations intéressantes, y compris des correctifs de sécurité pour 13 vulnérabilités signalées par des chercheurs en sécurité.
Cinq vulnérabilités de haute gravité corrigées
CVE-2023-4573
Une faille de corruption de mémoire a été découverte dans IPC CanvasTranslator. Lorsque mStream a été initialisé et a reçu des données de rendu par IPC, il aurait pu être détruit, résultant en une faille de type "use-after-free" qui pourrait potentiellement conduire à un crash exploitable.
CVE-2023-4574
Une vulnérabilité de corruption de mémoire a été trouvée dans IPC ColorPickerShownCallback. Lors de l'établissement d'un callback sur IPC pour afficher la fenêtre Color Picker, il y avait un problème potentiel où plusieurs des mêmes callbacks auraient pu être générés simultanément et détruits lorsque l'un de ces callbacks se terminait. Cela pouvait entraîner une faille de type "use-after-free", qui à son tour conduisait à un plantage potentiellement exploitable.
CVE-2023-4575
Une vulnérabilité de corruption de mémoire a été trouvée dans IPC FilePickerShownCallback. Lors de l'établissement d'un rappel IPC pour lancer la fenêtre du sélecteur de fichiers, il était possible que plusieurs rappels identiques soient générés simultanément. Par la suite, lors de l'achèvement de l'un de ces rappels, tous auraient pu être détruits simultanément. Ce scénario avait le potentiel de résulter en une situation "use-after-free", menant potentiellement à un crash exploitable.
CVE-2023-4577
Vulnérabilité de corruption de mémoire dans JIT UpdateRegExpStatics lorsque la fonction UpdateRegExpStatics tente d'accéder à l'initialStringHeap, il y a une possibilité que ce tas ait déjà été ramassé avant d'entrer dans la fonction. Cette situation pouvait entraîner un plantage exploitable.
CVE-2023-4576
Une autre vulnérabilité de débordement d'entier de haute sévérité appelée "CVE-2023-4576" a également été découverte dans RecordedSourceSurfaceCreation. Cependant, cette faille n'affecte que Firefox sous Windows, les autres systèmes d'exploitation n'étant pas concernés.
En outre, huit autres vulnérabilités ont été signalées et corrigées, avec une gravité modérée à faible. Pour obtenir des détails complets sur toutes les vulnérabilités de sécurité corrigées, veuillez vous référer à la MFSA 2023-34.
Nouveaux changements
Pour les utilisateurs de Linux, la version 117 de Mozilla Firefox semble avoir supprimé l'indicateur de partage d'écran sur les systèmes Wayland. Mozilla a déclaré que l'indicateur de partage d'écran rencontrait des difficultés pour fonctionner efficacement sur différentes plateformes, y compris Wayland. En outre, ils ont noté que de nombreux environnements de bureau Linux populaires offrent déjà leurs propres indicateurs de partage d'écran, ce qui a influencé leur décision de le supprimer de Firefox.
En plus de ces changements, elle comprend des améliorations telles que le défilement des listes de vidéos YouTube avec un lecteur d'écran et une meilleure prise en charge du remplissage automatique des cartes de crédit dans les langues IT, ES, AT, BE et PL.
Vous pouvez actuellement télécharger Mozilla Firefox 117 directement depuis le serveur de téléchargement de Mozilla. Cependant, si vous avez installé Firefox via les dépôts de votre distribution, il est conseillé d'attendre que la mise à jour officielle soit disponible avant de procéder.
Les sources de cet article incluent un article de 9to5Linux.
