Les développeurs de Mozilla ont publié de nouvelles versions des navigateurs Web Firefox 74.0.1 et Firefox ESR 68.6.1. Il est conseillé aux utilisateurs de mettre à jour leur navigateur, car les versions fournies corrigent deux vulnérabilités zero-day utilisées en pratique par les pirates.
Nous parlons des vulnérabilités CVE-2020-6819 et CVE-2020-6820 liées à la façon dont Firefox gère son espace mémoire. Il s'agit de vulnérabilités dites d'utilisation après libération qui permettent aux pirates de placer du code arbitraire dans la mémoire de Firefox pour l'exécuter dans le contexte du navigateur. De telles vulnérabilités peuvent être utilisées pour exécuter du code à distance sur les appareils des victimes.
Les détails des attaques réelles utilisant les vulnérabilités mentionnées ne sont pas divulgués, ce qui est une pratique courante parmi les éditeurs de logiciels et les chercheurs en sécurité de l'information. Cela est dû au fait qu'ils se concentrent généralement tous sur l'élimination rapide des problèmes détectés et la fourniture de correctifs aux utilisateurs, et ce n'est qu'après cela qu'une enquête plus détaillée sur les attaques est effectuée.
Selon les données disponibles, Mozilla enquêtera sur les attaques utilisant ces vulnérabilités en collaboration avec la société de sécurité de l'information JMP Security et le chercheur Francisco Alonso, qui a été le premier à découvrir le problème. Le chercheur suggère que les vulnérabilités corrigées dans la dernière mise à jour de Firefox peuvent affecter d'autres navigateurs, bien qu'il n'y ait aucun cas connu où les erreurs ont été exploitées par des pirates dans différents navigateurs Web.
Source: 3dnews.ru