[ALERTE CERT] – Vulnérabilité critique sur le navigateur Firefox

Nicolas Besse Alerte CERT

  Contexte

Firefox a sorti une récente mise à jour avec ses versions Firefox 67.0.3 and Firefox ESR 60.7.1 afin de stopper une vague de cyber-attaques utilisant une nouvelle vulnérabilité « Zero-Day ». Cette vulnérabilité a été découverte et reportée par le chercheur en cybersécurité de Google Project Zero, Samuel Groß ainsi que l’équipe de sécurité de Coinbase, et affecte le navigateur Firefox en permettant une prise de contrôle à distance des machines utilisant des versions vulnérables de Firefox.

CVE-2019-11707

  Criticité

La sévérité associée à cette publication a été estimée à Majeure par les équipes du CERT Devoteam (étant donné l’ampleur de la vulnérabilité due au nombre de machines vulnérables).

 Description

Cette vulnérabilité est exploitable sur toutes les versions Firefox Desktop pour les systèmes d’exploitation (Windows, macOs, et Linux) en revanche les versions mobiles (Android, IOS) ne sont pas affectées.

Elle permet à un attaquant sans aucune forme d’authentification de prendre le contrôle à distance (RCE : Remote Control Execution) de machines cibles utilisant une version vulnérable de Firefox.

Cette vulnérabilité intervient dans Mozilla Firefox lors du traitement d’un objet sans vérification de son type (confusion de type), ce qui conduit à un crash pouvant être exploité dans la méthode Array.pop (méthode permettant de supprimer et de retourner le dernier élément d’un tableau).

Un attaquant peut donc générer une page web personnalisée, manipuler une victime pour la lui faire visiter et se servir de la confusion de type pour exécuter du code arbitraire sur la machine de la victime. En fonction des privilèges associés à l’utilisateur, un attaquant peut installer des programmes, modifier ou supprimer des données ou crée de nouveaux comptes avec les droits de l’utilisateur.

En dehors de cette courte description affichée sur le site Mozilla, il n’y a pour l’heure pas d’autres détails concernant cette vulnérabilité de sécurité ou les attaques en cours. Cependant en se basant sur l’équipe l’ayant reportée, on peut supposer que la vulnérabilité a été exploitée dans des attaques visant les détenteurs de crypto-monnaies.

 Solution

En théorie, Firefox installe automatiquement les mises à jour quand elles sont disponibles à l’ouverture du navigateur. Par mesure de précaution, le CERT Devoteam recommande de toujours appliquer le principe de moindres privilèges sur les services et d’appliquer les correctifs proposés en vérifiant ou en mettant à jour manuellement Firefox pour sa dernière version (Firefox 67.0.3 ou supérieure et 60.7.1 pour les utilisateurs du programme Extended Support Release).

  Références

https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11707