Mozilla a récemment corrigé deux vulnérabilités dans Firefox, découvertes lors du concours Pwn2Own 2025 à Berlin. Ces failles, jugées importantes, permettaient des accès mémoire hors limites via des objets JavaScript, mais n’ont pas réussi à compromettre le mode bac à sable du navigateur, conçu pour protéger le système de l’utilisateur.
En réponse rapide, Mozilla a publié un correctif le jour même, avec la version 138.0.4 de Firefox, ainsi que des mises à jour pour les versions ESR destinées aux entreprises. Firefox sur Android a également été mis à jour.
Pour renforcer la sécurité, Mozilla a récemment supprimé plus de 600 gestionnaires d’événements JavaScript intégrés, transférant la gestion des événements vers des scripts externes. Cela permet d’appliquer des politiques de sécurité strictes, réduisant ainsi les risques d’attaques XSS et d’injection de scripts. Bien que les failles ne soient pas considérées comme critiques, Mozilla recommande aux utilisateurs de mettre à jour leur navigateur.
Aucune réponse