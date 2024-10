Mozilla a publié une mise à jour de sécurité d’urgence pour le navigateur Firefox afin de corriger une vulnérabilité critique d’utilisation après libération qui est actuellement exploitée dans les attaques.

La vulnérabilité, identifiée comme CVE-2024-9680 et découverte par le chercheur d’ESET Damien Schaeffer, est une utilisation après libération dans les chronologies d’animation.

Ce type de faille se produit lorsque la mémoire libérée est toujours utilisée par le programme, permettant à des acteurs malveillants d’ajouter leurs propres données malveillantes à la région mémoire pour exécuter du code.

Les chronologies d’animation, qui font partie de l’API Web Animations de Firefox, sont un mécanisme qui contrôle et synchronise les animations sur les pages Web.

« Un attaquant a réussi à exécuter du code dans le processus de contenu en exploitant une utilisation après libération dans les chronologies d’animation », lit le bulletin de sécurité.

« Nous avons eu des rapports faisant état d’une vulnérabilité exploitée à l’état sauvage. »

La vulnérabilité affecte la dernière version de Firefox (version standard) et les versions de support étendu (ESR).

Des correctifs ont été mis à disposition dans les versions ci-dessous, vers lesquelles il est recommandé aux utilisateurs de mettre à niveau immédiatement :

Firefox 131.0.2

Firefox ESR 115.16.1

Firefox ESR 128.3.1

Compte tenu du statut d’exploitation actif de CVE-2024-9680 et du manque d’informations sur la manière dont les personnes sont ciblées, la mise à niveau vers les dernières versions est essentielle.

Pour mettre à niveau vers la dernière version, lancez Firefox et accédez à Paramètres -> Aide -> À propos de Firefoxet la mise à jour devrait démarrer automatiquement. Un redémarrage du programme sera nécessaire pour que les modifications s’appliquent.

Mise à jour de Firefox

Source : BleepingComputer

BleepingComputer a contacté Mozilla et ESET pour en savoir plus sur la vulnérabilité, comment elle est exploitée et contre qui, et nous mettrons à jour cet article lorsque nous recevrons plus d’informations.

Jusqu’à présent, tout au long de l’année 2024, Mozilla n’a dû corriger qu’une seule fois les vulnérabilités zero-day sur Firefox.

Le 22 mars, la société Internet a publié des mises à jour de sécurité pour résoudre les problèmes CVE-2024-29943 et CVE-2024-29944, deux problèmes de gravité critique découverts et démontrés par Manfred Paul lors du concours de piratage Pwn2Own Vancouver 2024.