Mozilla corrige une faille critique dans Firefox 72
Gueule de bois en ce début d'année pour Mozilla. Firefox 72, dont la version finale est disponible depuis le 7 janvier, doit être mis à jour de toute urgence en raison de la découverte d'une faille de sécurité « 0 Day » qui a déjà été exploitée par des malandrins. Tous les utilisateurs ayant installé la version 72 du navigateur libre doivent télécharger toutes affaires cessantes la mise à jour fraichement mise en ligne.
L'affaire est manifestement de la plus haute importance : la CISA, l'agence sur la sécurité informatique américaine, a très officiellement alerté les internautes de cette vulnérabilité qui permet à un forban de prendre le contrôle de l'ordinateur infecté. Les versions 72.0.1 de Firefox et 68.4.1 de Firefox ESR (la mouture « grandes organisations » du navigateur) corrigent la faille.
À noter que la version iOS de Firefox n'est pas concerné en raison de l'utilisation du moteur WebKit.
Et dire qu’il y a des imbéciles qui recommandent encore d’effacer le fichier Contents/Resources/updater.ini du package Firefox, afin de ne plus devoir effectuer de mise à jour.
La mise à jour de Firefox étant parmi les plus parcimonieuses, il faudrait prendre la bonne habitude de la faire automatiquement, si tant est qu’on n’y veille pas manuellement.
Bah,... ça se discute !
Ceux qui ne font pas de mise à jour, n’ont pas reçu cette version 72 et n’ont donc pas été exposés à cette faille critique!
@SyMich
Franchement, vous m’étonnez :
https://www.mozilla.org/en-US/security/advisories/
Le ratio de failles comblées et de bugs résolus face aux nouvelles failles introduites plaide nettement en faveur de la mise à jour — systématique si on a le temps de s’informer, automatique sinon.
@SyMich
“Bah,... ça se discute !
Ceux qui ne font pas de mise à jour, n’ont pas reçu cette version 72 et n’ont donc pas été exposés à cette faille critique!”
+1
D'où l'incohérence de certain propos "tranchant".
@ForzaDesmo
"D'où l'incohérence de certain propos "tranchant"."
Il y a incohérence, en effet.
Mais elle se situe là où l’on ignore sciemment les failles comblées par Mozilla grâce à la v. 72.0 et ESR 68.4 de Firefox.
Dont voici la liste :
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/
Je vais être encore plus tranchant, sans guillemets : s’agissant de mises à jour de sécurité, il faut bien se garder de tomber dans le genre d’incohérence des préjugés anti-vaccin.
Et Mozilla n’a pas l’historique calamiteux d’iOS 13, ou Catalina, ou High Sierra, ou Sierra, ou Windows 10–1809, dont tant de versions mises à jour étaient pires que les précédentes.
@occam
Comme disait @SyMich ça se discute. Tu ne sembles donc pas ouvert à toutes discussions, donc fais comme bon te semble, chacun sa façon de voir et de faire. L'important est d'être au courant. Ensuite agir par précipitation, réflexe ou mauvais instinct c'est ne pas contrôler les choses ou bien risquer de faire encore plus de mal que le soi-disant remède.
D'ailleurs sais-tu si demain on ne va pas t'annoncer qu'il y a une nouvelle faille pire que la précédente avec cette nouvelle mise à jour ?
Plutôt que d'être tranchant je préfère raisonner tout en étant averti, ce qui me permet d'agir en conséquence (car il n'y a pas que les mises à jour pour compter se parer des intrusions) sans pour autant sauter sur une xième mise à jour dont on ne sait les maux potentiels et autres joyeux bugs. Cela ne veut pas dire de ne jamais faire de mise à jour (car je vois de suite le raccourci que l'on peut faire de mes propos).
Désolé mais malgré tes nouveaux arguments j'ai plus une vision @SyMichienne de la chose que @occamienne 😉
@occam
"Et Mozilla n’a pas l’historique calamiteux d’iOS 13, ou Catalina, ou High Sierra, ou Sierra, ou Windows 10–1809, dont tant de versions mises à jour étaient pires que les précédentes."
Euh, si on remonte un peu dans le temps, il y a eu quelques épisodes franchement très discutables. L’historique de Gecko n’est pas rose à tous les étages, et si on a un WebKit/KHTML, ce n’est pas sans raisons hein. Quantum n’est pas non plus né par hasard.
Historique calamiteux ? Pas loin, selon l’époque considérée. Voire même carrément.
Vu que ça touche aussi la version 68 sortie en juillet, la faille est la depuis au moins cette version et donc impact même ce qui n'ont pas la v72 :)
« vulnérabilité qui permet à un forban de prendre le contrôle de l'ordinateur infecté »
Sous macOS aussi ?
@marc_os
Yep.
Unix, Linux, macOS, Windows.
https://www.auscert.org.au/bulletins/ESB-2020.0078/
@ occam
Merci pour le lien, mais ce site est peu disert.
Que signifie en pratique sur Mac « prendre le contrôle de l'ordinateur infecté » ?
Quelqu'un peut-il vraiment "contrôler le Mac" comme s'il utilisait par exemple Apple Remote Desktop ?
@marc_os
"ce site est peu disert"
En effet.
Mozilla ne communique pas d’informations plus précises sur la faille.
Je n’en ai pas trouvé davantage, pour l’instant.
Le lien que j’ai donné provient de collègues australiens. Nous travaillons sur un serveur qui visualise les résultats dans Firefox, ce qui fait que la faille les a affectés avant moi, décalage horaire oblige.
Ils m’ont transmis l’info que leur a passé leur IT, mais ils n’en savent pas plus. Moi non plus.
Que faire WebKit ? Si quelque le sait :)
?? Pas compris... 🥴
@SyMich
Correcteur :) je demande que permet WebKit :) vu que dans l’article dit que la version iOS est safe grâce à WebKit
WebKit c’est le moteur de Safari et sur iOS, tous les navigateurs ont obligation d’utiliser WebKit plutôt que leur propre moteur. (En gros sur iOS, tous les navigateurs sont des versions de Safari dont seule la carrosserie change)
Donc comme c’est le moteur de Firefox qui a cette faille et que sur iOS, il n’utilise pas son moteur mais celui de Safari, du coup la faille n’est pas présente dans la version iOS de Firefox.
Ok merci :) finalement par moment on s’énerve l’un sur l’autre mais ça va on s’entraide 🤣
Aaaah les Forbans...
Ah c'est peut-être pour ça que jeudi j'ai vu mon PC lancer de la musique et bouger la souris tout seul... Dans le doute, j'ai réinstallé et passer tous mes fichiers au scanner de l'antivirus (rien trouvé).
et le piano dans ta salle à manger jouait tout seul ?