Mais quelle est donc cette mystérieuse vulnérabilité critique de Firefox que Mozilla vient de patcher. Sinon un court texte descriptif, les CERTs sont muets à son sujet et la documentation Bugzilla n’est pas disponible au commun des mortels. On sait seulement que cette faille 0day a déjà été exploitée.
Mozilla a publié une version 67.0.3 de Firefox (60.7.1 pour l’Extended Support Release). Pas de nouvelles fonctionnalités ou d’amélioration des performances, mais un correctif venant colmater CVE-2019-11707. De cette faille on ne sait quasiment rien, sinon qu’elle est classée comme « critique ».
La courte description du bulletin de sécurité de la fondation nous apprend qu’il s’agit d’une vulnérabilité « type confusion », soit l’utilisation d’une ressource (objet, pointeur ou variable) par un programme sans vérification de son type, ou dans le cas où cette ressource utilise un type différent incompatible avec son type initial. Dans le cas présent, celle-ci se produit « lors de la manipulation d'objets JavaScript en raison de problèmes liés à Array.pop ».
Qui es-tu, CVE-2019-11707 ?
Ce qui a pour conséquence un crash. C’est à peu près tout ce que Mozilla indique au sujet de CVE-2019-11707. Les CERT US et FR n’ont pas plus d’informations, pas plus que le registre CVE, quoique le premier affirme dans son rapport que celle-ci permet de prendre le contrôle d’une machine. Toujours est-il que cette faille a déjà été exploitée « dans la nature », indique Mozilla.
Notons que la faille a été découverte par les équipes de Google Zero et de Coinbase : il n’est donc pas exclu que cette vulnérabilité critique ait été exploitée dans des vols de cryptomonnaie. Le rapport Bugzilla est restreint et Project Zero ni Coinbase Security n'ont publié de post de blog à ce sujet. On ignore donc à partir de quelle version Firefox était affecté. La dernière faille 0day connue du navigateur remonte à 2016 et avait fait amplement parler d’elle en ce qu’elle affectait également Tor.