Hier, un de nos collègues signalé quelques bugs trouvés qui affectent toutes les versions de Firefox car une vulnérabilité zero day a été découverte dans le navigateur et est activement exploité dans des attaques ciblées. La faille de sécurité a été révélée via le Project Zero de Google et affecte toutes les versions de Firefox.
Un jour plus tard, Mozilla demande à nouveau à tous les utilisateurs du navigateur de se mettre à jour à nouveau à une nouvelle version supérieure qui est déjà sortie, ce au motif qu'une seconde vulnérabilité zero day a été découverte dans le navigateur.
Un deuxième bug du jour zéro dans Firefox
Mozilla a publié Firefox 67.0.4 pour corriger une vulnérabilité sécurité qui a été utilisée dans des attaques ciblées contre des entreprises de crypto-monnaie telles que Coinbase. Les utilisateurs de Firefox doivent installer cette mise à jour immédiatement.
Situé derrière Firefox 67.0.3 et 60.7.1, Des versions correctives supplémentaires 67.0.4 et 60.7.2 ont été publiées, éliminant la deuxième vulnérabilité zero day (CVE-2019-11708), qui permet de contourner le mécanisme d'isolation du sandbox du navigateur.
Le problème permet d'utiliser la demande de commande pour ouvrir la manipulation des appels IPC pour ouvrir du contenu Web dans un processus enfant qui n'utilise pas de sandbox.
Combiné avec une autre vulnérabilité, ce problème vous permet de contourner tous les niveaux de protection et organiser l'exécution du code dans le système.
Avant d'être réparé, les vulnérabilités identifiées dans les deux dernières versions de Firefox Ils ont été utilisés pour lancer une attaque contre les employés de l'échange de crypto-monnaie Coinbase et ont également été utilisés pour propager des logiciels malveillants pour la plate-forme macOS.
Une vérification insuffisante des paramètres transmis avec le message Invite: Ouvrir IPC entre les processus enfant et parent peut amener le processus parent non sandbox à ouvrir le contenu Web choisi par un processus enfant compromis. Lorsqu'il est combiné avec des vulnérabilités supplémentaires, cela pourrait entraîner l'exécution de code arbitraire sur l'ordinateur de l'utilisateur.
Cette semaine, Mozilla a publié Firefox 67.0.3 pour corriger une vulnérabilité critique d'exécution de code à distance qui était utilisée dans des attaques ciblées.
Depuis sa publication, il a été découvert que la vulnérabilité et une autre inconnue avaient été enchaînées dans le cadre d'une attaque par usurpation d'identité pour supprimer et exécuter des charges utiles malveillantes sur les machines de la victime.
Il est allégué que Des informations sur la première vulnérabilité ont été envoyées à Mozilla par un participant à Google Project Zero le 15 avril et corrigé le 10 juin dans la version bêta de Firefox 68 (les attaquants ont probablement analysé la solution publiée et préparé l'exploit en utilisant une autre vulnérabilité pour éviter l'isolement du sandbox).
Comment mettre à jour le navigateur Firefox sous Linux?
Afin de mettre à jour les nouvelles versions correctives du navigateur vers celui-ci et même de l'installer si vous ne l'avez pas, vous pouvez le faire en suivant les instructions que nous partageons ci-dessous.
Les utilisateurs d'Ubuntu, de Linux Mint ou de tout autre dérivé d'Ubuntu, Ils peuvent installer ou mettre à jour cette nouvelle version à l'aide du PPA du navigateur.
Cela peut être ajouté au système en ouvrant un terminal et en y exécutant la commande suivante:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
C'est fait maintenant, il suffit d'installer avec:
sudo apt install firefox
Pour toutes les autres distributions Linux peuvent télécharger les packages binaires dès le lien suivant.
Ou vérifiez si la nouvelle version a déjà été incorporée dans les référentiels de votre distribution.
Une autre façon de mettre à jour le navigateur La dernière version est en ouvrant le navigateur, ici les utilisateurs peuvent rechercher manuellement les nouvelles mises à jour dans le menu Firefox -> Aide -> À propos de Firefox. Firefox recherchera automatiquement une nouvelle mise à jour et l'installera.
Aussi Une correction de bogue Firefox est attendue pour le deuxième défaut zéro jour découvert a frappé le navigateur Tor dans les prochains jours.
Depuis aujourd'hui, l'équipe du navigateur Tor a été mise à jour vers la version 8.5.2, qui inclut le correctif pour la première erreur zéro jour détectée dans la branche Firefox.