La récente attaque sur Firefox visait les employés de Coinbase
La récente faille de sécurité « zéro-day » de Firefox a été utilisée lors d'attaques qui visaient directement les employés de Coinbase. Philip Martin, chercheur en sécurité chez Coinbase a annoncé la nouvelle sur Twitter le 20 juin.
Double attaque sur le navigateur
Comme Martin l'a constaté, la vulnérabilité critique du navigateur Web Firefox de Mozilla, qui a été annoncée le 18 juin, est apparue en même temps qu'une autre faille qui visait les employés de Coinbase, ce qui signifie qu'il y avait deux attaques distinctes de type zéro-day visant Firefox.
[tweet 1141466335592869888 align='center']
“ Un peu plus de contexte sur les rapports concernant les failles zéro-day de Firefox. Lundi, Coinbase a détecté et bloqué une tentative d'un attaquant de tirer parti de la faille zéro-day signalée, ainsi que d'une autre faille zéro-day distincte, qui ciblait les employés de Coinbase. ”
Martin a ajouté que Coinbase n'était pas la seule entreprise liée à la cryptomonnaie ciblée par ces attaques, ajoutant qu'ils s'efforçaient de signaler d'autres entreprises qui, à leur avis, étaient également visées. Il a souligné que l’équipe de sécurité de l'entreprise n’avait « aucune preuve » que cette faille visait les clients de Coinbase.
La faille était connue de Firefox
Coinbase Security a d'abord signalé la faille de sécurité avec Samuel Groß, chercheur en sécurité au sein de l'équipe de sécurité de Google Project Zero, qui a affirmé qu'il avait signalé le bug à Mozilla le 15 avril 2019.
[tweet 1141273394723414016 align='center']
“ Je n'ai aucune idée de la partie exploitation active. J'ai trouvé le bug et je l'ai signalé le 15 avril. Le premier correctif public a ensuite atterri il y a environ une semaine (les correctifs sont maintenus jusqu'à ce que la prochaine version se rapproche) : https://hg.mozilla.org/releases/mozilla .. ”
En réponse à ces informations, Mozilla a publié des mises à jour de sécurité pour son navigateur, reconnaissant que la société était « au courant d'attaques ciblées à caractère sauvage qui exploitaient cette faille ».
Comme nous l'avons récemment rapporté, Mozilla a publié Firefox 67.0.3 et Firefox ESR 60.7.1 pour corriger la faille zéro-day signalée sous la référence CVE-2019-11707, la décrivant comme une « vulnérabilité de confusion pouvant survenir lors de la manipulation d'objets JavaScript due à des problèmes dans Array.pop ». Il est donc fortement conseillé que vous procédez à la mise à jour de votre navigateur afin d'éviter tout risque potentiel.
Cet article est traduit de Cointelegraph dans le cadre d’un partenariat entre Cryptoast et ce média international.
Fondé en 2013, Cointelegraph couvre l'actualité des technologies blockchains, des crypto-actifs et des tendances émergentes en matière de fintech.