Firefox présente des risques pour les utilisateurs de cryptomonnaiesMozilla a récemment rendu publique une nouvelle faille de sécurité affectant Firefox. Il s'agit d'une vulnérabilité d'exécution de code à distance (RCE), permettant potentiellement à des intrus d'exécuter du code sur des machines malveillantes. C'est la deuxième faille de sécurité de Firefox corrigée cette semaine.
Le dernier avis de sécurité de Mozilla détaille que la nouvelle faille CVE-2019-11708 affectait toutes les versions précédentes des navigateurs Firefox et Firefox ESR. Cette erreur a été corrigée dans les versions Firefox 67.0.4 et Firefox ESR 60.7.2.
Mozilla a considéré la faille la plus récente de Firefox comme ayant un impact important, un terme qui désigne les vulnérabilités permettant de collecter des données utilisateur complexes ou d'insérer du code dans les sites visités par l'utilisateur lors de ses périodes de navigation habituelles.
La faille actuelle est inhabituelle car elle a été détectée après avoir été signalée suite à des utilisations abusives. Elle est commune à de nombreuses failles zero-day ; le système était initialement utilisé pour identifier les utilisateurs et les détenteurs de cryptomonnaies.
Selon les médias, l'ancien et l'actuel bug de Firefox ont été combinés dans une attaque en deux étapes visant à harceler plusieurs groupes de cryptomonnaies.
Le problème a été révélé après que Philip Martin, responsable de la sécurité de l'information chez Coinbase , a informé Mozilla de l'attaque.
Ces deux failles auraient permis à l'attaquant d'extraire des données complexes de systèmes sophistiqués et potentiellement de compromettre l'environnement d'exécution de Firefox afin d'exécuter du code sans autorisation. Si cette tentative avait abouti, les sites affectés auraient pu subir des dommages considérables.
On ignore encore comment les auteurs ont découvert la faille RCE, mais il est possible qu'elle ait été révélée de manière autonome ou qu'elle ait été découverte par un employé de Mozilla.
Pour se prémunir contre cette vulnérabilité, il est nécessaire de mettre à jour Firefox en accédant à la section « À propos de Firefox » du menu pour activer la mise à jourmatic .
