Firefox 122 publié avec 15 correctifs de sécurité
Mozilla a publié la nouvelle version de son navigateur populaire, Firefox 122, le 23 janvier 2024. Elle est arrivée 1 mois et 5 jours après la précédente version de Firefox 121 et apporte plusieurs nouvelles fonctionnalités et améliorations ainsi que divers correctifs de sécurité. Dans cet article, nous allons explorer les vulnérabilités de haute sévérité corrigées dans les récentes mises à jour de sécurité de Firefox.
Vulnérabilités de haute gravité corrigées dans Firefox 122
CVE-2024-0741
Cette vulnérabilité d'écriture hors limites dans ANGLE (Almost Native Graphics Layer Engine) pourrait permettre à un attaquant de corrompre la mémoire, ce qui entraînerait un plantage potentiellement exploitable.
CVE-2024-0742
Certaines invites et boîtes de dialogue du navigateur pourraient être activées ou rejetées involontairement par les utilisateurs en raison d'un horodatage incorrect utilisé pour empêcher la saisie après le chargement de la page.
CVE-2024-0743
Firefox 122 a corrigé une valeur de retour non vérifiée dans le code d'échange TLS qui pourrait potentiellement entraîner un plantage exploitable.
CVE-2024-0744
Dans certaines conditions, le code compilé JIT aurait pu déréférencer une valeur de pointeur sauvage, posant un risque de plantage exploitable.
CVE-2024-0745
Firefox 122 a également corrigé une problème de débordement de la mémoire tampon de la pile dans le WebAudio OscillatorNode
ce qui pourrait entraîner un plantage potentiellement exploitable.
Correction d'autres failles de sécurité
Toutes les vulnérabilités restantes sont classées comme étant de gravité moyenne et ayant un impact modéré sur Firefox :
CVE-2024-0746 : L'ouverture de la boîte de dialogue d'aperçu d'impression sous Linux peut entraîner un plantage du navigateur.
CVE-2024-0748 : Un processus de contenu compromis pourrait avoir modifié l'URI du document, permettant à un attaquant de définir un URI arbitraire dans la barre d'adresse ou l'historique.
CVE-2024-0749 : Un site de phishing pourrait utiliser une boîte de dialogue "about :" pour afficher un contenu de phishing avec une origine incorrecte dans la barre d'adresse.
CVE-2024-0750 : Firefox 122 a corrigé un bug dans le calcul du délai des notifications popup qui pouvait permettre à un attaquant de tromper un utilisateur en lui accordant des permissions.
CVE-2024-0751 : Une extension devtools malveillante pourrait être utilisée pour une élévation de privilèges.
Paquet DEB de Firefox 122
Firefox est enfin livré avec un paquet .deb pour les utilisateurs de Linux sur Ubuntu, Debian et Linux Mint. Le paquet DEB officiel de Firefox garantit des performances accrues grâce à des optimisations avancées basées sur le compilateur, des binaires sécurisés avec tous les drapeaux de sécurité activés lors de la compilation, un accès rapide aux dernières mises à jour, et une navigation fluide sans la nécessité de redémarrer Firefox après la mise à jour du paquet.
Conclusion
De nombreuses distributions Linux, y compris Ubuntu et Debian, ont déjà déployé des mises à jour de sécurité qui corrigent les vulnérabilités de Firefox mentionnées ci-dessus. Il est essentiel de mettre à jour les installations existantes de Firefox pour obtenir les dernières versions et garantir une expérience de navigation sécurisée. Vous pouvez également trouver les paquets binaires ou DEB officiels de Firefox 122 sur la page de téléchargement.
Les sources de cet article comprennent un article du MFSA 2024-01.