Mozilla vient de publier une nouvelle version de son navigateur, Firefox 57.0.4. Au programme nous avons des correctifs contre les récentes failles découvertes dans les processeurs Intel, AMD et ARL. Elles se nomment Meltdown et Specter.
Firefox 57.0.4 s’attaque uniquement à ces problèmes jugés graves et critiques. Il n’y a pas d’autre modification. La priorité a été la correction de ces deux vulnérabilités. Nous sommes en présence de solutions pour « atténuer » les attaques Web. Mozilla a mis en œuvre deux changements.
Sur son blog, il est confirmé que ces failles permettent à des contenus web de « lire des informations privées entre différentes origines ». Luke Wagner ingénieur logiciel « JavaScript et WebAssembly » dans Firefox précise
« L’ampleur de cette classe d’attaques est encore étudiée et nous travaillons avec des chercheurs en sécurité et d’autres fournisseurs de navigateurs pour bien comprendre la menace et les correctifs »
Cette remarque montre la complexité de l’affaire car pour apporter un correctif définitif il faut découvrir, entrevoir et comprendre l’exploitation possible de ces failles. Pour l’heure Mozilla agit en désactivant certains composants jugés à risque. Il est ainsi précisé
« Nous désactivons ou réduisons la précision de plusieurs sources temporelles dans Firefox »
FireFox 57.0.4, une rustine contre Meltdown et Specter
Ces modifications sont provisoires car à plus long terme il est déjà programmé d’autres actions
« À plus long terme, nous avons commencé à expérimenter des techniques pour éliminer la fuite d’information au plus près de la source, au lieu de simplement cacher la fuite en désactivant les minuteries. »
Cela va cependant demandé du temps.
« Ce projet nécessite du temps pour comprendre, implémenter et tester »
Firefox 57.0.4 est disponible soit en téléchargement direct soit au travers du module de mise à jour automatique du navigateur. Dans ce cas l’opération se fait toute seule.
Vulnérabilités Meltdown et Spectre, comment se protéger sous Windows ?