La Fondation Mozilla a publié une mise à jour de sécurité pour son navigateur Firefox, et il est fortement conseillé de l’appliquer dès que possible. La raison ? Elle est actuellement exploitée dans le cadre de cyberattaques. Faisons le point.
La vulnérabilité, associée à la référence CVE-2024-9680 a été découverte par Damien Schaeffer, chercheur en sécurité chez ESET. Il s’agit d’une faiblesse de type « use-after-free » présente dans « Animation timelines« . Ce composant fait partie de l’API Animations Web de Firefox dont l’objectif est de contrôler et synchroniser les animations sur les pages web.
Sur son site, Mozilla évoque la possibilité d’exécuter du code par l’intermédiaire de cette vulnérabilité. Il s’agit d’une faille de sécurité critique qui est déjà exploitée par les cybercriminels, même si aucun détail n’est fourni à ce sujet : « Nous avons reçu des rapports faisant état de l’exploitation de cette vulnérabilité dans la nature.« , peut-on lire.
Nous pouvons donc parler de faille zero-day, ce qui est quand même assez rare dans Firefox, en comparaison de Google Chrome (en 2024, il y a déjà eu 10 zero-day corrigées dans Chrome).
Comment se protéger ?
Cette vulnérabilité affecte la dernière version de Mozilla Firefox, en version standard, ainsi que celle du canal ESR (Extended Support Release). Pour vous protéger, vous devez utiliser l’une de ces versions :
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
Il est à noter que le correctif de sécurité est la seule « nouveauté » intégrée à ces versions, ce qui montre la volonté de Mozilla de corriger la faille en urgence.
Si vous utilisez Mozilla Firefox, il est recommandé de mettre à jour l’application sur votre machine. Ceci est d’autant plus vrai que la vulnérabilité est exploitée, même si nous n’avons pas de détails à ce sujet.
Pour mettre à jour Firefox, ouvrez le menu situé en haut à droite, cliquez sur « Aide » puis « A propos de Firefox« . Le processus de mise à jour sera automatiquement déclenché et vous n’aurez qu’à patienter pendant la mise à jour. Pour l’appliquer, vous n’aurez qu’à redémarrer le navigateur.