À peine repérée, immédiatement patchée, la vulnérabilité est activement exploitée sur les versions classiques et ESR de Firefox.
Fait assez rare pour être mentionné, Mozilla vient tout juste de confirmer la présence d’une faille zero day dans Firefox. Estampillée CVE-2024-9680, identifiée comme critique, elle permet aux cyberattaquants d’exécuter du code à distance sur les ordinateurs des internautes. La fondation a déjà déployé un patch et conseille à l’ensemble de ses utilisateurs et utilisatrices de mettre leur navigateur web à jour le plus rapidement possible.
Trous de mémoires et injection de code malveillant
La vulnérabilité a d’abord été repérée par Damian Schaeffer, chercheur en sécurité chez Eset, avant que Mozilla ne communique officiellement dessus. Dans le détail, il s’agit d’une faille de type « use-after-free » dans le composant « Animation timelines » de Firefox 131.0.1, Firefox ESR 128.3.0 et Firefox ESR 115.16.0.
À titre d’information, Animation timelines est élément intégré à l’API Animations Web du navigateur, en charge, comme son nom l’indique, de gérer et synchroniser les animations sur les pages web. Dans ce cas, la vulnérabilité se produit lorsque la mémoire qui a été libérée est toujours utilisé par le programme, autorisant les hackers à y injecter leurs propres données malveillantes.
Alertée et réactive, Mozilla a rapidement confirmé la découverte, et déployé des correctifs de sécurité pour les différentes versions de Firefox affectées. Elle a également signalé que la vulnérabilité était activement exploitée, sans donner plus de détail concernant les types de cyberattaques orchestrées et la manière dont elles sont menées. À noter que le NIST, organisme de référence en charge de l'analyse et de la divulgation d'informations complètes sur les CVE, n’a pas encore documenté CVE-2024-9680 non plus.
Une mise à jour d'urgence s'impose
Dans tous les cas, il est vivement conseillé de mettre à jour votre navigateur vers les versions les plus récentes de Firefox, à savoir 130.0.2, ESR 128.3.1 et ESR 115.16.1. En théorie, il vous suffit de vous rendre dans les Paramètres > Aide > À propos de Firefox. Le navigateur devrait télécharger automatiquement la mise à jour de sécurité et vous inviter à redémarrer Firefox pour appliquer le patch.
Considéré comme l'un des navigateurs les mieux sécurisés, Firefox est assez peu sujet aux failles zero day. Pour rappel, il s’agit de la seconde vulnérabilité de ce type depuis le début de l’année. En comparaison, Chrome en a déjà corrigé une dizaine en dix mois.
- settingsMoteur de rendu : Gecko
- extensionExtensions disponibles
- groupCible : généraliste & technophile
- center_focus_strongParticularité : logiciel libre
- devicesPlateformes : bureau & mobile
Firefox n’est peut-être pas aussi rapide que Chrome et consorts, mais il n’en reste pas moins un navigateur efficace et fiable. Développée en interne sur tous les fronts, moteurs de rendu et d’exécution JavaScript compris, la solution de Mozilla se veut à la pointe du respect de la vie privée et de la protection de la confidentialité. En témoignent les nombreuses technologies maison intégrées qui contribuent à faire de Firefox un environnement sécurisé (isolation des sites, onglets sandboxés, blocages agressifs des publicités, cookies et traqueurs intersites). Cette liberté d’innovation et d’expérimentation est notamment rendue possible par l’indépendance du projet vis-à-vis de Chromium.
- 100 % développé en interne
- Fiable, efficace et stable
- Fonctionnalités d'optimisation de l'interface et de l'expérience utilisateur
- Respectueux de la vie privée
- Options de sécurité avancées (SmartBlock, isolation des sites, protections antifingerprinting et antiminage)
- Benchmarks décevants
- Pas de prise en charge multicompte native