Firefox 111 corrige 11 trous, mais pas 1 zero-day parmi eux…

Firefox 111 corrige 11 trous, mais pas 1 zero-day parmi eux…

Horodatage: 14 mars 2023 1h16
Nœud source: 2009307
by Paul Canard

Vous avez entendu parler du cricket (le sport, pas l'insecte) ?

C'est un peu comme le baseball, sauf que les frappeurs peuvent frapper la balle où ils veulent, y compris vers l'arrière ou sur le côté ; les quilleurs peuvent frapper le frappeur avec la balle exprès (dans certaines limites de sécurité, bien sûr - ce ne serait tout simplement pas du cricket autrement) sans lancer une bagarre totale de 20 minutes ; il y a presque toujours une pause au milieu de l'après-midi pour le thé et le gâteau ; et vous pouvez marquer six points à la fois tant que vous frappez la balle assez haut et loin (sept si le quilleur fait également une erreur).

Eh bien, comme le savent les passionnés de cricket, 111 points est un score superstitieux, considéré comme peu propice par beaucoup – l'équivalent pour le joueur de cricket de Macbeth à un acteur.

C'est connu comme un Nelson, bien que personne ne semble réellement savoir pourquoi.

Aujourd’hui voit donc la sortie de Nelson de Firefox, avec la sortie de la version 111.0, mais celle-ci ne semble rien de mauvais augure.

Onze patchs individuels et deux lots de patchs

Comme d'habitude, il existe de nombreux correctifs de sécurité dans la mise à jour, y compris les numéros de vulnérabilité combo-CVE habituels de Mozilla pour les bogues potentiellement exploitables qui ont été trouvés automatiquement et corrigés sans attendre de voir si un exploit de preuve de concept (PoC) était possible :

  • CVE-2023-28176 : Bogues de sécurité de la mémoire corrigés dans Firefox 111 et Firefox ESR 102.9. Ces bogues étaient partagés entre la version actuelle (qui inclut de nouvelles fonctionnalités) et la version ESR, abréviation de version de support étendu (correctifs de sécurité appliqués, mais avec de nouvelles fonctionnalités gelées depuis la version 102, il y a neuf versions).
  • CVE-2023-28177 : Bogues de sécurité de la mémoire corrigés dans Firefox 111 uniquement. Ces bogues n'existent presque certainement que dans le nouveau code qui a apporté de nouvelles fonctionnalités, étant donné qu'ils n'apparaissaient pas dans l'ancienne base de code ESR.

Ces sacs d'insectes ont été classés Haute plutôt que Critical.

Mozilla admet que "nous supposons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire", mais personne n'a encore compris comment le faire, ni même si de tels exploits sont réalisables.

Aucun des onze autres bogues numérotés CVE ce mois-ci n'était pire que Haute; trois d'entre eux s'appliquent à Firefox pour Android uniquement ; et personne n'a encore (pour autant que nous le sachions) trouvé un exploit PoC qui montre comment en abuser dans la vraie vie.

Deux vulnérabilités particulièrement intéressantes apparaissent parmi les 11, à savoir :

  • CVE-2023-28161 : Les autorisations uniques accordées à un fichier local ont été étendues à d'autres fichiers locaux chargés dans le même onglet. Avec ce bogue, si vous ouvriez un fichier local (tel qu'un contenu HTML téléchargé) qui voulait accéder, par exemple, à votre webcam, alors tout autre fichier local que vous ouvririez par la suite hériterait comme par magie de cette autorisation d'accès sans vous le demander. Comme l'a noté Mozilla, cela pourrait entraîner des problèmes si vous parcouriez une collection d'éléments dans votre répertoire de téléchargement - les avertissements d'autorisation d'accès que vous verriez dépendraient de l'ordre dans lequel vous avez ouvert les fichiers.
  • CVE-2023-28163 : La boîte de dialogue Enregistrer sous de Windows a résolu les variables d'environnement. Ceci est un autre rappel vif à désinfectez vos entrées, comme on aime à le dire. Dans les commandes Windows, certaines séquences de caractères sont traitées spécialement, telles que %USERNAME%, qui est converti au nom de l'utilisateur actuellement connecté, ou %PUBLIC%, qui désigne un répertoire partagé, généralement dans C:Users. Un site Web sournois pourrait utiliser cela pour vous inciter à voir et à approuver le téléchargement d'un nom de fichier qui semble inoffensif mais qui atterrit dans un répertoire auquel vous ne vous attendez pas (et où vous ne réaliserez peut-être pas plus tard qu'il s'est terminé).

Que faire?

La plupart des utilisateurs de Firefox obtiendront la mise à jour automatiquement, généralement après un délai aléatoire pour arrêter le téléchargement de l'ordinateur de tout le monde au même moment…

… mais vous pouvez éviter l'attente en utilisant manuellement d’aide > À propos (ou Firefox > À propos de Firefox sur un Mac) sur un ordinateur portable, ou en forçant une mise à jour App Store ou Google Play sur un appareil mobile.

(Si vous êtes un utilisateur Linux et que Firefox est fourni par le fabricant de votre distribution, effectuez une mise à jour du système pour vérifier la disponibilité de la nouvelle version.)

Horodatage:

Plus de Sécurité nue