Firefox : patch sécuritaire pour colmater une faille de 0-day dans la confusion (pas juste une illusion...) !

Hier, le 18 Juin 2019, la fondation Mozilla alertait sur une vulnérabilité cryptographique de type 0-day.

 

 

Si le bulletin est quelques peu léger, la faille, elle, n'est pas des moindres puisqu'elle permettrait vraisemblablement d’interagir au niveau de JavaScript ; plus précisément des objets en relation avec "Array.pop", une fonction qui permet d'ajuster les paramètres et la longueur d'une table (avec gestion de ses attributs, entrées).

 

La faille porte sur l'une des propriétés permettant d'établir les fondements d'un système (ou d'une clé, par exemple) cryptographique, la confusion qui, comme l'indique son nom, a pour rôle de maximiser la perplexité du chiffrement (à ne pas confondre avec la diffusion, une technique qui vient en complément, dans le but de définir une méthodologie d'agencement de ce système cryptographique ainsi "confusionné" en premier lieu. L'une des méthodes les plus célèbres est "l'effet avalanche" qui, grosso modo, changera chaque donnée (bit) de chiffrement au fur-et-à-mesure que celui-ci est modifié ou diffusé) ; difficile, en théorie donc, de passer une telle barrière ; en pratique, malheureusement, le cas sécuritaire présent nous prouve le contraire, même si une telle faille reste marginale.

Samuel Groß et Coinbase security ont mis en lumière cette faille 0-day, recensée CVE-2019-11707 qui permettait une exécution malveillante potentielle de code à distance. Selon les propos recueillis par Zdnet, "selon le but des cyber-attaquants" il n'est pas à exclure une attaque de type UXSS (Universal Cross-Site Scripting) qui cible les vulnérabilités potentielles du navigateur, extensions / plug-ins compris (là où une faille dîte "XSS" cible "seulement" les contenus HTML, pages Web, par exemple). Selon les dires de Samuel Groß, la faille aurait été signalée à Mozilla depuis le 15 Avril dernier.

Pour l'heure, si ce n'est déjà fait et / ou si le navigateur Firefox - ou Firefox ESR, la version "commerciale" du panda de feu pour administrations et professionnels - ne l'aurait pas proposé, lancez manuellement la mise à jour en sélectionnant le menu "?" puis "A propos de Firefox". Si la version 67.0.3 s'affiche vous n'avez rien à faire (la mise à jour a été appliquée) ; pour Firefox ESR, il s'agit de la version (patchée, donc) 60.7.1... A veiller !

 

Source : Mozilla - 18 Juin 2019 - Bulletin sécuritaire critique (CVE-2019-11707) : faille 0-day "confusion" (cryptographie).