16/12/2024

Actu CybersécuritéLogiciel - OS

Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day !

Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.