Une importante faille zero-day a été repérée au sein de Firefox et Thunderbird, exploitée par des hackers. Il s’agit d’un bug dans le format d’image WebP qui permet une attaque à distance. Google a aussi la même faille dans Chrome. Il faut mettre à jour ces applications au plus vite.
Si vous utilisez Chrome, Firefox et Thunderbird, mettez rapidement ces applications à jour. Mozilla a notamment corrigé hier une faille zero-day exploitée activement qui affecte le navigateur Firefox et le client de messagerie, Thunderbird.
Chrome, Firefox et Thunderbird victimes d’une faille zéro-day d’ampleur
Sur Firefox, la faille est référencée sous le nom CVE-2023-4863. Il s’agit d’un débordement de tas (heap overflow) dans le format d’image WebP qui pourrait être utilisé par un attaquant à distance pour effectuer une écriture de mémoire hors limites via une page HTML malveillante. Autrement dit, ouvrir une image WebP malveillante pourrait déclencher l’attaque.
Mozilla indique que l’entreprise est fort consciente de la vulnérabilité et qu’elle est activement exploitée. Si on ne sait pas combien de personnes ont été touchées à ce stade, il est fortement recommandé de ne pas attendre pour tout mettre à jour.
À lire : Chrome, Firefox, Safari… Quel est le navigateur le plus vulnérable en 2022 ?
Voici les nouvelles versions qui contiennent toutes des correctifs pour la vulnérabilité CVE-2023-4863 :
- Firefox 117.0.1
- Firefox ESR 115.2.1
- Firefox ESR 102.15.1
- Thunderbird 102.15.1
- Thunderbird 115.2.2
Après avoir révélé l’existence d’une faille épineuse sur Chrome et les autres navigateurs basés sur Chromium, il faut savoir que Google a aussi diffusé des correctifs pour la même vulnérabilité dans Chrome, lundi. Comme pour Mozilla, peu d’informations sont fournies sur la vulnérabilité ou les attaques observées. Il s’agit d’une pratique courante lorsque divulguer des informations pourrait présenter un avantage pour les attaquants.
La vulnérabilité zero-day affecte les canaux Stable et Extended stable pour Chrome. Les dernières versions corrigées de Google Chrome sont 116.0.5845.187 pour Mac et Linux et 116.0.5845.187/.188 pour Windows. La découverte de la faille zero-day est créditée à Apple Security Engineering and Architecture (SEAR) et au Citizen Lab de l’Université de Toronto’s Munk School.