Un correctif de sécurité a été livré hier par Mozilla afin de corriger une vulnérabilité critique (bulletin de sécurité 2015-78) affectant son navigateur web, faille pour laquelle un logiciel d’exploit est déjà sorti. C’est un utilisateur de Firefox, Cody Crews, qui a prévenu l’éditeur, indiquant qu’une publicité sur un site d’actualités en Russie servait un programme exploitant la faille à la recherche de fichiers sensibles téléchargés ensuite sur un serveur semblant se trouver en Ukraine. Mozilla enjoint tous les utilisateurs de Firefox de mettre à jour leur navigateur vers la version 39.0.3. Le correctif a également été livré dans Firefox ESR 38.1.1.

Dans un billet, Daniel Veditz, responsable sécurité de Mozilla, explique que la faille vient de l’interaction entre un mécanisme JavaScript et le lecteur de PDF de Firefox et que les produits Mozilla qui n’intègrent pas le viewer PDF ne sont pas vulnérables. La vulnérabilité ne permet pas l’exécution de code arbitraire mais le logiciel d’exploit a pu injecter localement des données permettant d’effectuer des recherches et de télécharger potentiellement des fichiers locaux sensibles. Daniel Veditz donne des détails sur le type de fichiers recherchés sur Windows et Linux. Les Mac ne sont pas visés mais ne seraient pas épargnés par la recherche d’autres types de fichiers.