Mozilla corrige une faille de Firefox 3.6

24 mars 2010

Mozilla a hâté la diffusion de ses correctifs pour la dernière version de Firefox en raison de la présence d’une faille critique dans le décodeur WOFF implémenté dans Firefox 3.6. Les autres versions ne sont pas affectées.

Les mises à jour pour les différentes versions du navigateur Firefox étaient prévues pour le 30 mars, mais en raison de l’existence d’une faille dans Firefox 3.6, Mozilla diffuse dès aujourd’hui la version 3.6.2.

Mozilla a manifestement pris au sérieux les données transmises le 18 mars par un chercheur en sécurité et faisant état d’une faille critique dans Firefox 3.6. La fondation a en effet pris la décision d’avancer la date de mise à disposition de la version 3.6.2 du navigateur libre.

Le BürgerCERT allemand déconseillait l’utilisation de Firefox 3.6

Evgeny Legerov avait alerté Mozilla de la présence d’une faille au niveau du support du format WOFF (Web Open Font Format) dans Firefox 3.6 (elle aurait été découverte en février par le chercheur, qui n’aurait accepté que récemment de communiquer des détails à Mozilla). L’exploitation de cette vulnérabilité permet potentiellement à un attaquant d’exécuter du code à distance sur une machine vulnérable.

Les autres versions du navigateur Firefox ne sont pas affectées (elles n’intègrent pas le décodeur WOFF). Pour les utilisateurs de Firefox 3.6, il est recommandé de mettre à jour leur application, en téléchargeant la dernière version sur le site de Mozilla, ou plus simplement directement depuis Firefox, dans le menu « ? ».

La faille de Firefox avait donné lieu à la publication d’un bulletin d’alerte en Allemagne, émis par le BürgerCERT, une agence gouvernementale de sécurité. Cette dernière déconseillait d’utiliser le navigateur tant que la vulnérabilité ne serait pas corrigée.

En janvier, une autre agence allemande, le BSI (équivalent au CERTA en France) avait émis une mise en garde comparable, cette fois en raison de la présence d’une faille critique dans Internet Explorer. Le CERTA avait lui aussi recommandé le recours à un navigateur alternatif dans l’attente d’un correctif de Microsoft.