Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

The post Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day ! first appeared on IT-Connect.

Firefox 124 a été publié par la fondation Mozilla ! Quelles sont les nouveautés de cette version ? Parlons-en, mais nous allons surtout nous intéresser à une faille de sécurité critique corrigée par les développeurs.

Ce mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox. Une nouvelle version associée à la publication d'une page qui regroupe toutes les nouveautés apportées à cette version.

Firefox 124 introduit de nouvelles options d'accessibilité, avec notamment la prise en charge du mode de navigation par curseur dans le lecteur PDF du navigateur. De plus, Firefox View est désormais capable de trier vos onglets par activité récente (par défaut) ou par ordre de tabulation. A noter également que la disponibilité de Qwant a été étendue à toutes les langues de la région France, ainsi qu'à la Belgique, l'Italie, les Pays-Bas, l'Espagne et la Suisse.

12 failles de sécurité corrigées par Firefox 124

Par ailleurs, et ce que nous allons évoquer maintenant, les développeurs ont corrigé 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. Associée à la référence CVE-2024-2615, cette vulnérabilité a été découverte par Paul Bone et les membres de Mozilla Fuzzing Team. Il s'agit d'un problème de sécurité dans la mémoire.

Le bulletin de sécurité de Mozilla est clair : cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

La faille de sécurité CVE-2024-2615 affecte uniquement le navigateur Mozilla Firefox. Toutefois, Mozilla a corrigé plusieurs vulnérabilités dans la version Firefox ESR, ainsi que dans son client de messagerie Thunderbird.

Voici la liste des produits et versions affectés par différentes vulnérabilités :

• Firefox versions antérieures à 124
• Firefox ESR versions antérieures à 115.9
• Thunderbird versions antérieures à 115.9

Le CERT-FR a publié un avis de sécurité au sujet de ces vulnérabilités présentes dans les produits de Mozilla : "Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.", peut-on lire.

Maintenant, c'est à vous de faire le nécessaire pour mettre à jour les applications Firefox et Thunderbird.

The post Passez sur Firefox 124 pour vous protéger de cette faille de sécurité critique (CVE-2024-2615) ! first appeared on IT-Connect.