Encore une mise à jour critique pour Firefox!

La fondation Mozilla termine sa semaine en beauté. Après avoir mis à jour les versions 3.0 et 3.5 de Firefox, les développeurs proposent aujourd’hui un correctif pour la branche 3.6, la 3.6.3.

La version 3.6.2 ayant été dévoilée le 22 mars, vous vous doutez certainement que cette nouvelle mise à jour n’apportera pas une foule de fonctionnalités. Et pour cause, puisqu’elle se borne à corriger une faille de sécurité dévoilée lors du concours Pwn2Own.

Nils, de la société MWR InfoSecurity, avait proposé une attaque sophistiquée, qui consistait à déplacer des éléments entre plusieurs documents. Sous certaines conditions, il était alors possible de continuer à utiliser des objets libérés de la mémoire par le ramasse-miettes intégré à Firefox. Ce type d’erreur mène tout droit à la corruption de la mémoire, avec possibilité de lancer du code sur la machine de l’utilisateur et – ainsi – d’en prendre le contrôle à distance.

Cette vulnérabilité est jugée critique. La mise à jour est donc vivement recommandée. Dans la plupart des cas elle sera automatique. Vous pourrez toutefois la forcer via le menu « ? >Rechercher des mises à jour… ». Au besoin, vous pourrez télécharger cette version directement depuis la page de garde du projet.

Si cette faille ne touche que Firefox 3.6, les développeurs estiment que ce type d’attaque pourrait également être adapté à Firefox 3.5. Un correctif pour ce navigateur sera donc prochainement mis en ligne.