5/5 - (2 votes)

Avis de sécurité Mozilla Firefox du 01 août 2023

De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance, un contournement de la politique de sécurité et une élévation de privilèges.

CVE-2023-4052 : suppression de fichiers et élévation des privilèges via le programme de désinstallation de Firefox. Le programme de mise à jour de Firefox a créé un répertoire accessible en écriture par les utilisateurs non privilégiés. Lors de la désinstallation de Firefox, tous les fichiers de ce répertoire seraient supprimés de manière récursive avec les autorisations du compte d’utilisateur de désinstallation. Cela pourrait être combiné avec la création d’une jonction (une forme de lien symbolique) pour permettre la suppression arbitraire de fichiers contrôlés par l’utilisateur non privilégié. Ce bug affecte uniquement Firefox sous Windows. Les autres systèmes d’exploitation ne sont pas affectés.

CVE-2023-4045 : Offscreen Canvas aurait pu contourner les restrictions d’origine croisée. Offscreen Canvas n’a pas correctement suivi la contamination d’origine croisée, qui aurait pu être utilisée pour accéder aux données d’image d’un autre site en violation de la politique de même origine.

CVE-2023-4046 : valeur incorrecte utilisée lors de la compilation WASM. Dans certaines circonstances, une valeur périmée aurait pu être utilisée pour une variable globale dans l’analyse WASM JIT. Cela a entraîné une compilation incorrecte et un plantage potentiellement exploitable dans le processus de contenu.

CVE-2023-4047 : Contournement potentiel des demandes d’autorisations via le détournement de clics. Un bogue dans le calcul du délai des notifications contextuelles aurait pu permettre à un attaquant d’inciter un utilisateur à accorder des autorisations.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.


Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.


Mozilla Firefox est un navigateur web libre et gratuit, développé et distribué par la Mozilla Foundation avec l'aide de milliers de bénévoles grâce aux méthodes de développement du logiciel libre/open source et à la liberté du code source. Il est géré depuis 2003 par la fondation Mozilla. La protection totale contre les cookies de Firefox vous offre une confidentialité hors pair par défaut. Finie l’impression des PDF. Modifiez vos formulaires directement dans Firefox. Firefox View vous permet de voir vos onglets ouverts sur d’autres appareils et votre historique récent.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.
Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut