Mozilla a publié une mise à jour de sécurité pour résoudre une vulnérabilité d’escalade de privilèges de haute gravité trouvée dans le service de maintenance de Mozilla.
le Service de maintenance Mozilla est un service optionnel de Firefox et Thunderbird qui rend possible les mises à jour des applications en arrière-plan.
Cela offre aux utilisateurs de Firefox une expérience de mise à jour transparente où ils n’ont plus besoin de cliquer sur « Oui » dans la boîte de dialogue Contrôle de compte d’utilisateur Windows (UAC) avant de mettre à jour leur navigateur Web ou leur client de messagerie.
Mozilla a corrigé aujourd’hui la faille de sécurité d’escalade de privilèges identifiée comme CVE-2022-22753, avec la sortie de Firefox 97.
Une exploitation réussie sur des systèmes non corrigés peut permettre aux attaquants d’élever leurs privilèges aux droits de compte NT AUTHORITYSYSTEM (le niveau de privilèges le plus élevé sur un système Windows).
« Un bug Time-of-Check Time-of-Use existait dans le service de maintenance (mise à jour) qui pouvait être utilisé de manière abusive pour accorder aux utilisateurs un accès en écriture à un répertoire arbitraire. Cela aurait pu être utilisé pour passer à l’accès SYSTEM », Mozilla expliqué.
« Ce bug n’affecte que Firefox sous Windows. Les autres systèmes d’exploitation ne sont pas affectés. »
Mozilla a également déclaré que Firefox 97 corrige plusieurs bugs de sécurité de la mémoire trouvés par les développeurs et la communauté Mozilla dans Firefox 96 et Firefox ESR 91.5.
« Certains de ces bugs ont montré des preuves de corruption de la mémoire et nous supposons qu’avec suffisamment d’efforts, certains d’entre eux auraient pu être exploités pour exécuter du code arbitraire », a ajouté Mozilla.
Firefox 97 ajoute également de nouvelles fonctionnalités, des améliorations
La sortie d’aujourd’hui est également livré avec de nouvelles fonctionnalités telles que la prise en charge du nouveau style de barres de défilement sur Windows 11 et des correctifs, y compris des améliorations du chargement des polices système macOS qui accélèrent l’ouverture et le passage à de nouveaux onglets.
Firefox 97 supprime également la prise en charge de la génération directe de PostScript pour l’impression sous Linux, bien que l’impression sur des imprimantes PostScript soit toujours disponible en tant qu’option prise en charge.
En décembre, Mozilla a également corrigé un bug critique de corruption de mémoire affectant ses services de sécurité réseau multiplateformes (NSS) bibliothèques de cryptomonnaie.
Sur les systèmes exécutant des versions vulnérables de Firefox, l’exploitation pourrait entraîner un dépassement de mémoire tampon basé sur le tas, avec un impact allant des pannes de programme et de l’exécution de code arbitraire au contournement du logiciel de sécurité si l’exécution du code est obtenue.
Mozilla a déclaré à l’époque que tous les visualiseurs PDF et clients de messagerie utilisant les versions NSS publiées depuis octobre 2012 pour la vérification des signatures seraient affectés.