ClickCease Firefox 118 corrige de multiples failles de sécurité

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Firefox 118 corrige de multiples failles de sécurité

Rohan Timalsina

Le 4 octobre 2023 - L'équipe d'experts de TuxCare

Sorti la semaine dernière, Firefox 118 arrive avec la fonction de traduction intégrée la plus attendue, qui était initialement prévue pour Firefox 117. Cette nouvelle fonctionnalité permet aux utilisateurs de traduire le contenu d'un site web d'une langue à l'autre.

Peu après sa sortie, Firefox 118 a corrigé plusieurs vulnérabilités de sécurité signalées par des chercheurs externes le 26 septembre 2023. Parmi celles-ci, six ont été décrites comme des vulnérabilités de haute sévérité par Mozilla. Les autres vulnérabilités corrigées comprennent deux bogues de gravité moyenne et un bogue de faible gravité.

 

Six vulnérabilités de haute gravité corrigées

CVE-2023-5168

Le FilterNodeD2D1 peut recevoir des données malveillantes d'un processus de contenu compromis, provoquant une écriture hors limites et un plantage potentiellement exploitable dans un processus privilégié. Firefox est affecté par ce problème sous Windows uniquement. Il n'y a pas d'impact sur les autres systèmes d'exploitation.

 

CVE-2023-5169

Une écriture hors limites causée par des données malveillantes dans un enregistrement de chemin (PathRecording) provenant d'un processus de contenu compromis peut avoir provoqué un plantage dans un processus privilégié qui aurait pu être exploité.

 

CVE-2023-5170

Dans le cadre d'un rendu de toile, un processus de contenu compromis peut avoir induit une modification inattendue d'une surface, ce qui peut entraîner une fuite de mémoire au sein d'un processus privilégié. Cette fuite de mémoire pourrait être exploitée pour s'échapper du bac à sable si les données spécifiques requises pour une telle évasion étaient exposées.

 

CVE-2023-5171

Lors de la compilation Ion, un événement Garbage Collection a pu conduire à un scénario use-after-free, donnant à un attaquant la possibilité d'écrire deux octets NUL et de déclencher potentiellement un plantage qui pourrait être exploité.

 

CVE-2023-5172

Dans le moteur Ion, la mutation d'une table de hachage aurait pu se produire alors qu'une référence intérieure était encore en place, ce qui aurait pu entraîner une situation d'utilisation après coup et un blocage susceptible d'être exploité.

 

CVE-2023-5176

Firefox 117, Firefox ESR 115.2, et Thunderbird 115.2 contiennent des vulnérabilités de sécurité de la mémoire. Certaines de ces vulnérabilités présentaient des signes de corruption de la mémoire, et il est concevable qu'avec suffisamment d'efforts, certaines d'entre elles auraient pu être exploitées pour exécuter un code arbitraire.

 

Vulnérabilité critique corrigée dans Firefox 118.0.1

Suite à ces événements, Mozilla a annoncé les correctifs pour la vulnérabilité critique, CVE-2023-5217, le 28 septembre 2023. Cette faille a été découverte dans la bibliothèque libvpx dans laquelle le traitement spécifique d'un flux multimédia VP8 contrôlé par un attaquant pourrait conduire à un débordement de la mémoire tampon du tas dans le processus de contenu.

 

Réflexions finales

Il est essentiel de mettre à jour le navigateur web Firefox vers la dernière version pour éviter le risque potentiel de ces vulnérabilités. Les nouvelles mises à jour de Firefox 118 devraient déjà être accessibles dans les dépôts stables de votre distribution, il est donc conseillé de maintenir un calendrier de mise à jour régulier pour garder votre système sécurisé.

 

La source de cet article est disponible à l'adresse suivante : Mozilla Foundation Security Advisories.

Résumé
Firefox 118 corrige de multiples failles de sécurité
Nom de l'article
Firefox 118 corrige de multiples failles de sécurité
Description
Découvrez la dernière mise à jour de sécurité de Firefox 118 qui corrige les vulnérabilités les plus graves, y compris les problèmes de mémoire et les plantages potentiels.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information