Au lendemain de la publication de Firefox en version 72, Mozilla diffuse une mise à jour 72.0.1 afin de corriger une vulnérabilité de sécurité jugée critique. Rapportée par le groupe de cybersécurité chinois Qihoo 360, elle fait l'objet d'une exploitation active dans des attaques ciblées.

L'alerte a été reprise par l'US Cybersecurity and Infrastructure Security Agency, selon qui un attaquant pourrait exploiter la vulnérabilité pour prendre le contrôle d'un système affecté. Pas de détails toutefois concernant la manière dont cette vulnérabilité est exploitée dans des attaques.

Cette vulnérabilité CVE-2019-17026 est présentée comme une confusion de type touchant IonMonkey. Il s'agit du compilateur JavaScript à la volée pour le moteur JavaScript SpiderMonkey. Un risque est l'accès à des emplacements mémoire sensibles pour l'exécution d'un code malveillant.

Firefox-nouvelle-identite-visuelle

Si les détails sont maigres pour le moment, cette faille était probablement passée sous les radars. La version 72 de Firefox ne corrigeait à l'origine que onze vulnérabilités et aucune critique.