Firefox: six failles de sécurité à mettre à jour

Une nouvelle version du navigateur Internet Firefox vient d’apparaitre. Elle corrige pas moins de six failles de sécurité, dont deux « critiques » et deux classées comme « hautes ». La première vulnérabilité critique concerne des possibilités de ‘plantage’ de l’application avec corruption de mémoire et exécution (potentielle) de code arbitraire. Aucunexploitn’est connu pour cette faille. La mise à jour est cependant fortement recommandée.

La seconde vulnérabilité consiste en une escalade de privilège avec le moteur JavaScript. Ces deux failles touchent également l’outil de messagerie Thunderbird, qui utilise le moteur de Firefox. Il faut donc s’attendre à une mise à jour de ce logiciel dans les jours à venir.

Les failles classées comme étant « hautes » concernent tout d’abord la possibilité de créer un popupqui pourra lire les informations présentes dans les formulaires des autres onglets en cours de visualisation.

La seconde permet à LiveConnect de tenter de se connecter au port local d’une machine. Ce problème ne concerne pas les personnes qui utilisent la dernière version de l’environnement d’exécution Java (Java 6 update 5). La fondation Mozilla a cependant corrigé le problème en amont, afin de protéger les utilisateurs des versions plus anciennes de Java.

Les deux dernières failles sont moins critiques. Elles concernent respectivement une possibilité de spoofing HTTP (usurpation d’adresse) et une « maladresse » dans la gestion des connexions SSL.

La mise à jour de Firefox s’effectuera automatiquement sous 24 à 48 heures. Les utilisateurs Linux trouveront la nouvelle version dans leurs dépôts de logiciels. Au final, seul ceux qui compilent eux mêmes leur version de Firefox devront effectuer la mise à jour manuellement.