La Direction générale de la sécurité des systèmes d’information (DGSS), sous l’administration de la défense nationale, alerte les utilisateurs, les individus en tant qu’organisations, sur l’existence de vulnérabilités critiques affectant les anciennes versions du navigateur Mozilla Firefox.
Ces défauts de sécurité, qualifiés comme graves, permettent aux attaquants distants de prendre le contrôle des systèmes vulnérables via l’exécution du code arbitraire, compromettant ainsi l’intégrité, la confidentialité et la disponibilité des données, en particulier les informations d’authentification sensibles telles que les mots de passe.
Dans un avis de sécurité critique élevé, le DGSS recommande fortement aux utilisateurs de Firefox consulter le Bulletin de sécurité publié par Mozilla et pour installer les dernières mises à jour disponibles.
Les versions concernées par ces vulnérabilités sont: les éditions standard de Firefox avant la version 138, éditions Libération de support prolongée (ESR) Avant la version 115.23, et celles précédant la version 128.10 dans les branches concernées.
Mozilla a publié une correction de sécurité traitant de plusieurs défauts, qui peuvent être utilisés par les cybercriminels pour: exécuter un code distant malveillant, accéder aux données confidentielles et grimper les privilèges afin d’obtenir un contrôle total sur le système ciblé.
En effet, les risques identifiés incluent en particulier: l’injection et l’exécution d’un code malveillant sans interaction utilisateur, l’exfiltration de données sensibles (identificateurs, informations personnelles, fichiers critiques) et élévation des privilèges permettant à l’attaquant de compromettre complètement l’environnement système.
Approchée par Hespress, Hassan Kherjouj, expert en développement sécurisé et cybersécurité, précise que «Ces vulnérabilités affectent encore de nombreuses administrations et organisations publiques qui continuent d’exploiter les versions obsolètes du navigateur“. Il souligne cela”Les défauts permettent l’injection de scripts exploitables en attaques par service distribué (DDOS) ou l’utilisation frauduleuse des machines compromises avec distanciatione ”.
Pour Kherjouj, la réactivité est cruciale: les utilisateurs doivent impérativement appliquer des mises à jour et les structures institutionnelles sont particulièrement concernées, étant donné la nature très sensible des données qu’ils gèrent.
Pour sa part, Taieb Hezzaz, expert en cybersécurité, ajoute que «Cette vulnérabilité permet à un acteur malveillant de déployer des charges malveillantes utiles sur des positions de compromis, facilitant l’exfiltration furtive des données confidentielles».
Il indique également que «Des défauts similaires ont été détectés sur certaines versions de Google Chrome. Les utilisateurs sont donc invités à vérifier les paramètres de mise à jour automatique de leurs navigateurs ou, si nécessaire, pour installer manuellement les dernières versions sécurisées».
