Mozilla vient de publier une mise à jour pour son navigateur Firefox. En alerte, Mozilla vient de publier Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pour Android 97.3.0, Focus 97.3.0 et et Thunderbird (91.6.2). Ces mises à jour corrigent deux failles de sécurité critiques, utilisées de manière active par des pirates. CVE-2022-26485 et CVE-2022-26486 sont des failles critiques liées à la mémoire de type “use-after-free”. CVE-2022-26486 pourrait également conduire à une évasion de sandbox exploitable, selon Mozilla. À savoir qu’une sandbox est un environnement isolé du reste du réseau. Il est utilisé pour exécuter un code suspect, sans poser de risque à l’appareil hôte ou au réseau. Donc, en toute sécurité. Une mémoire corrompue À l’origine, les failles ont été détectées par les chercheurs en sécurité de la société chinoise de sécurité Internet Qihoo 360. Elles exploitent des bugs de type “use-after-free”. Les deux bugs sont des vulnérabilités d’utilisation d’une donnée en mémoire après sa libération (UAF). Pour rappel, ce type de faille permet de corrompre la mémoire d’un système et exécuter du code arbitraire. La vulnérabilité est donc liée à l’utilisation incorrecte de la mémoire dynamique pendant le fonctionnement d’un programme. Les deux corrections CVE-2022-26485, la première faille est logée dans le module XSLT. Ce dernier assure la conversion de documents XML en pages web ou PDF. “La suppression d’un paramètre XSLT pendant le traitement aurait pu conduire à un usage après libre exploitable”, indique la fondation Mozilla. La deuxième faille, CVE-2022-26486, est liée à WebGPU. En clair, “un message inattendu dans le framework WebGPU IPC pourrait conduire à un use-after-free et à un échappement de sandbox exploitable”, précise la société. Un WebGPU est le nom de travail d’une norme Web et d’une API JavaScript destinés aux graphiques et au calcul accélérés. En clair, le WebGPU permet de créer des animations en 3D dans un navigateur web. L’objectif est de fournir des “capacités de calcul et de graphiques 3D modernes”. Des corrections efficaces et réactives Selon l’analyse du Google Project Zero, qui évalue la rapidité avec laquelle les fournisseurs de logiciels ont corrigé les bugs, Mozilla obtient des résultats relativement bons. En chiffres, Mozilla a corrigé 9 des 10 bugs qui affectaient son logiciel. Il a fallu à la fondation en moyenne 46 jours pour effectuer cette correction. Contre 44 jours pour Google, 83 jours pour Microsoft et 69 pour Apple. Pour installer cette mise à jour, il suffit à l’utilisateur de se rendre dans la rubrique “Aide”. Il devra ensuite cliquer sur la section “À propos de Firefox”.