Mozilla annonce avoir corrigé deux vulnérabilités au sein de Firefox, un déploiement quasi immédiat après leurs découvertes.
Mozilla corrige deux failles de Firefox découvertes au Pwn2own 2025 ©Shutterstock L’édition 2025 du concours Pwn2Own, qui s'est déroulé à Berlin, a mis en lumière deux vulnérabilités dans Firefox.
L'événement Pwn2Own se tient tous les ans et rassemble plusieurs spécialistes et experts en sécurité tentant de mettre à mal les dispositifs de protection embarqués au sein des navigateurs Web. L'objectif de cet audit communautaire vise bien entendu à anticiper des failles pouvant cette fois être exploitée par des personnes malveillantes.
Des failles importantes, mais pas critiques
Sur Firefox, les deux failles en question ont été jugées importantes. Elles permettaient des accès mémoire hors limites via des objets JavaScript. Malgré la démonstration réussie des exploits, aucune des attaques n’a permis de sortir du mode bac à sable (sandbox) du navigateur. Or pour mémoire, ce mécanisme de confinement a été conçu pour limiter les conséquences d’une compromission sur l'intégralité du système de la victime.
Les développeurs de Mozilla se sont montrés particulièrement réactifs. Ils ont publié un correctif le jour-même avec la publication de la version 138.0.4 de Firefox ainsi que des mises à jour pour les branches ESR (Extended Support Release) destinées aux entreprises et aux systèmes plus anciens (v128.10.1 et v115.23.1). Sur Android, Firefox a également été mis à jour.
Récemment, Mozilla a entrepris de renforcer la sécurité de l’interface de Firefox en supprimant plus de 600 gestionnaires d’événements JavaScript intégrés dans son code frontal. Désormais, la gestion des événements passe par des scripts externes, ce qui permet d’appliquer des politiques de sécurité du contenu (CSP) strictes. Cette approche limite l’exécution de code dynamique et autorise uniquement le chargement de ressources internes. par conséquent, cela réduit aussi les risques d’attaques XSS et d’injection de scripts dans l’interface du navigateur.
C'est grâce à cette nouvelle approche qu les hackers n'ont pas pu passer outre le mode de sandboxing. Pour Mozilla, ces failles ne sont donc pas réellement critiques, mais la fondation invite quand même les utilisateurs à mettre Firefox à jour.
merci à CLUBIC
