Deux vulnérabilités critiques ont été repérées dans Firefox, le navigateur web de Mozilla. Des correctifs sont toutefois disponibles depuis le 3 avril. La mise à jour du logiciel ne doit pas attendre : il a été constaté que ces failles sont exploitées à des fins malveillantes.

C’est une mise à jour qui n’était pas prévue au programme, mais qui était requise étant donné les circonstances. Le 3 avril 2020, Mozilla a sorti une nouvelle version de Firefox. Dans celle-ci, numérotée 74.0.1, aucune fonctionnalité pour le navigateur web n’est livrée. En revanche, elle vient résoudre deux très graves vulnérabilités qui ont été découvertes dans le comportement du logiciel.

Très graves, parce que ces deux failles sont exploitées par des tiers malveillants pour des attaques ciblées, prévient Mozilla dans ses notes de mise à jour. L’une d’elles affecte l’API Streams, qui autorise du code JavaScript, un langage de programmation, à accéder à des flux de données en provenance du réseau. Dans certaines conditions, l’instruction ReadableStream peut ainsi servir de vecteur d’attaque.

Comment mettre à jour Firefox

Le téléchargement de la toute dernière version de Firefox peut se faire en restant dans le navigateur web : cliquez sur « Aide » dans le menu, en haut du logiciel, et sélectionnez « À propos de Firefox » dans le menu déroulant. Une nouvelle fenêtre apparaîtra alors au centre de l’écran. Vous verrez notamment le numéro de version de Firefox. S’il n’est pas le plus récent, le téléchargement de la dernière version débutera immédiatement. Redémarrez le logiciel lorsqu’il vous y invite à le faire.

Firefox 74.0.1

La bonne version à utiliser est, en date du 6 avril, numérotée Firefox 74.0.1.

Il est à noter que l’alerte concerne aussi une autre déclinaison un peu spéciale de Firefox, dite Firefox ESR (acronyme d’Extended Support Release, c’est-à-dire une version ayant droit à une durée de support prolongée, et qui s’adresse plutôt aux entreprises). La bonne version à récupérer est numérotée 68.6.1. Là encore, la mise à jour se fait de la même façon. À noter que Firefox ESR n’inclut pas les toutes dernières nouveautés de Firefox.

Le téléchargement de Firefox peut aussi se faire depuis le site web de Mozilla.

Il est hautement conseillé d’appliquer la mise à jour, dans la mesure où celle-ci est très simple à réaliser et qu’il a été observé une utilisation active de ces failles pour nuire à des individus. Le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), est évidemment sur cette ligne, tout comme son homologue américain.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !