L'équipe de Mozilla a eu quelques jours productifs, ayant publié une mise à jour de Firefox un jour après la sortie de la dernière version majeure du navigateur web qui a comblé huit failles de sécurité répertoriées par le CVE.
Tout d'abord, mardi a vu le déploiement de Firefox 77.0 dans le canal stable pour Windows, macOS et Linux. La nouvelle version a été livrée avec un tas de nouvelles fonctionnalités et d'améliorations, ainsi que d'importants correctifs de sécurité.
Cinq des vulnérabilités traitées par la mise à jour ont reçu un score de gravité élevé, trois d'entre elles permettant à de mauvais acteurs d'exécuter du code arbitraire sur des installations vulnérables. Comme l’explique l'entreprise, une faille classée comme étant de haute gravité « peut être utilisée pour recueillir des données sensibles sur des sites dans d'autres fenêtres ou injecter des données ou du code dans ces sites, ne nécessitant pas plus que des actions de navigation normales ».
Certaines de ces vulnérabilités ont également affecté la version ESR du navigateur, qui est destinée aux grandes organisations et pour laquelle une nouvelle version (ESR 68.9) a également été publiée mardi. Cette dernière mise à jour a également permis de corriger deux failles classées comme modérées et une vulnérabilité comme à faible risque.
La liste complète des CVE - découverte par un assortiment d'experts, dont les propres développeurs de Mozilla, des universitaires finlandais et des chercheurs indépendants - est disponible dans les derniers avis de sécurité de Mozilla pour Firefox et pour Firefox ESR, respectivement. Il est important de noter qu'au moment de la publication de la mise à jour, aucune des failles n'avait été détectée comme étant abusée dans la nature.
DoH-mmage
Une journée s'est écoulée et une autre version de Firefox - 77.0.1 - a été publiée pour toutes les plates-formes de bureau prises en charge, alors que le déploiement de Firefox 77.0 a été interrompu. Cette fois-ci, la mise à jour portait sur un problème concernant l'utilisation du DNS par le navigateur sur HTTPS (DoH), un protocole que le fabricant du navigateur a d'abord activé par défaut pour les utilisateurs basés aux États-Unis il y a un peu plus de trois mois.
« Nous devons être en mesure de déployer ce protocole progressivement afin de ne pas surcharger les fournisseurs. Même la phase de test implique jusqu'à 10 requêtes par client, ce qui peut être très important lorsque l'ensemble des versions est mis à jour », explique Bugzilla, l'outil de suivi des bogues de Mozilla.
« Désactiver la sélection automatique du DNS sur les fournisseurs HTTPS pendant un test pour permettre un déploiement plus large et plus contrôlé », précise-t-on dans le journal des modifications. DoH vise à améliorer la protection de la vie privée et la sécurité des personnes sur le web, d'autres grands navigateurs comme Chrome et Edge allant dans le même sens.
Firefox, qui représente 9 % des parts de marché des navigateurs pour ordinateurs de bureau, est connu pour envoyer des mises à jour de sécurité en un temps record et pas seulement lorsqu'un problème majeur se pose. À ce propos, au début de l'année, Mozilla s'est empressé de publier un correctif pour une vulnérabilité zéro-day, le lendemain même de la sortie d'une nouvelle version majeure de son navigateur.
À moins que vous n'ayez déjà appliqué les dernières mises à jour, vous seriez bien avisé de les vérifier en vous rendant dans le menu du navigateur, puis en cliquant sur Aide et sur À propos de Firefox.
