crédit photo © Pavel Ignatov - shutterstock
« Mozilla a publié une mise à jour de Firefox contenant un correctif pour une vulnérabilité signalée comme étant activement utilisée pour désanonymiser les utilisateurs de Tor Browser. Les copies existantes de Firefox devraient être mises à jour automatiquement au cours des 24 prochaines heures, » peut-on lire aujourd’hui sur le blog de Mozilla.
Le mardi 29 novembre, l’organisation a mis la main sur un exploit permettant de lancer du code sur le PC d’un internaute, via une simple page web comprenant des éléments JavaScript et SVG spécifiques. L’exploit permet de collecter les adresses IP et MAC de la machine de l’utilisateur, offrant ainsi de le retracer sur Internet. Cet exploit dédié à Windows s’appuie sur une faille existant également sous macOS et Linux.
C’est probablement ce type de faille qu’aurait exploitée le FBI pour suivre les utilisateurs de Tor sur la Toile. Voir à ce propos notre précédent article « Le FBI a-t-il exploité une faille inconnue pour traquer les utilisateurs de Tor ? ».
Si vous utilisez Tor, il est donc urgent de vérifier si Firefox est bien installé en mouture 50.0.2. Notez que deux jours plus tôt une autre faille critique était corrigée dans Firefox 50.0.1. Cette dernière permettait de considérer du code tiers comme faisant partie de la page web chargée.
À lire aussi :
Firefox Focus, le navigateur web anti-tracking d’iOS
Quantum promet de relancer Firefox… fin 2017
Firefox 50 : plus de vitesse, plus de sécurité
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…