Depuis le week-end dernier, Mozilla diffuse une mise à jour de sécurité pour le navigateur Firefox. Elle corrige trois vulnérabilités de sécurité, dont deux critiques pour lesquelles il est fait mention d'une exploitation dans le cadre d'attaques.
Signalées par des chercheurs en sécurité de la société chinoise Qihoo 360 ATA, ces deux vulnérabilités 0day sont de type user after free (utilisation d'une donnée en mémoire après sa libération), ce qui laisse généralement supposer une possibilité d'exécution de code arbitraire à distance.
Mozilla n'entre toutefois pas dans les détails. Une vulnérabilité peut être déclenchée avec le retrait d'un paramètre XSLT lors du traitement, tandis que l'autre vulnérabilité critique est en lien avec un message inattendu dans le framework WebGPU IPC et pour un échappement de sandbox.
En urgence sans attendre Firefox 98
XSLT signifie eXtensible Stylesheet Language Transformations qui est un langage de transformation XML pour par exemple transformer un document XML en PDF ou HTML. WebGPU et une API web permettant aux pages web d'utiliser le GPU pour le rendu graphique et IPC est la communication inter-processus.
Firefox patched two in-the-wild 0-days found by the team at 360 ATA: CVE-2022-26485 (RCE) and CVE-2022-26486 (Sbx escape) #itw0dayshttps://t.co/1Pk6AgqKnm
— Maddie Stone (@maddiestone) March 7, 2022
Les deux vulnérabilités critiques sont référencées CVE-2022-26485 et CVE-2022-26486. Chercheuse en sécurité pour Project Zero de Google, Maddie Stone souligne la correction des deux 0day dans la nature. La correction concerne Firefox sur ordinateur (97.0.2) et pour Android (97.3), ainsi que Firefox ESR (91.6.3), Focus (97.3) et Thunderbird (91.6.2).
À noter que la publication de la version 98 de Firefox est prévue pour ce 8 mars.
