Firefox

Source: Anthropic — Contexte: Anthropic détaille une collaboration avec Mozilla où son modèle Claude Opus 4.6 a servi à découvrir et aider à corriger des vulnérabilités dans Firefox, avec publication de correctifs dans Firefox 148.0. 🔍 Découvertes clés: Claude Opus 4.6 a identifié 22 vulnérabilités en deux semaines, dont 14 de haute gravité (près d’un cinquième des vulnérabilités haute gravité remédiées en 2025). Mozilla a expédié des correctifs à des centaines de millions d’utilisateurs dans Firefox 148.0, le reste arrivant dans des versions ultérieures. En février 2026, ces signalements dépassent tout mois individuel de 2025. ...

Selon The Cyber Express, Firefox v147.0.4 corrige la vulnérabilité CVE-2026-2447, décrite comme un débordement de tampon du tas dans la bibliothèque libvpx, avec un risque élevé d’exécution de code à distance. 🛠️ Correctif: Firefox v147.0.4 🧩 Composant affecté: libvpx ⚠️ Vulnérabilité: CVE-2026-2447 — débordement de tampon du tas (heap buffer overflow) 💥 Impact potentiel: exécution de code à distance (RCE) 📈 Sévérité: haut risque Firefox (libvpx) – Correctif hors cycle pour une faille critique : CVE-2026-2447 Résumé Mozilla a publié une mise à jour de sécurité hors cycle pour corriger une vulnérabilité critique (heap buffer overflow) dans la bibliothèque libvpx utilisée pour décoder les vidéos VP8/VP9. Une exploitation via du contenu multimédia/piégé peut provoquer de la corruption mémoire et potentiellement mener à de l’exécution de code dans le contexte de l’utilisateur. ...

Source: AISLE — AISLE détaille la découverte d’une vulnérabilité critique, CVE-2025-13016, dans l’implémentation WebAssembly de Firefox, introduite en avril 2025 et restée indétectée pendant environ 6 mois malgré un test de régression. La faille, notée CVSS 7.5 (High), permet une exécution de code arbitraire et affecte des centaines de millions d’utilisateurs (Firefox 143–début 145 et ESR 140.0–140.4). 🛡️ Détails techniques. La vulnérabilité réside dans la classe template StableWasmArrayObjectElements (js/src/wasm/WasmGcObject.h, ligne 532 vulnérable). Deux erreurs clés: 1) arithmétique de pointeurs incorrecte via un std::copy mélangeant uint8_t* et uint16_t*, provoquant une écriture hors limites (stack buffer overflow) en copiant numElements_ * sizeof(T) éléments au lieu d’octets; 2) mauvaise source de données: utilisation de inlineStorage() (incluant un DataHeader) au lieu de addressOfInlineData()/inlineArrayElements<T>(). Le chemin vulnérable est déclenché lors du fallback GC dans Instance::stringFromCharCodeArray quand l’allocation NoGC échoue sous pression mémoire/GC. ...

Selon mozilla.org (Brian Smith), le 7 novembre 2025, Mozilla annonce « Firefox Support for Organizations », un programme de support dédié pour les équipes déployant Firefox à grande échelle, avec un démarrage opérationnel prévu en janvier 2026. Le programme cible les organisations (entreprises, écoles, administrations) qui utilisent Firefox et l’ESR pour la sécurité, la résilience et la souveraineté des données, et qui veulent un accompagnement confidentiel, fiable et personnalisé. Principales offres du programme: ...

Source: blog.mozilla.org (Alan Byrne, 23 octobre 2025). Mozilla annonce un changement de politique pour les extensions Firefox centré sur la transparence de la collecte de données. À partir du 3 novembre 2025, toutes les nouvelles extensions Firefox devront déclarer si elles collectent ou transmettent des données personnelles dans le manifest.json via la clé browser_specific_settings.gecko.data_collection_permissions. 🧩🔒 Les extensions qui ne collectent ni ne transmettent de données doivent le préciser en définissant la permission « none required » dans cette propriété. ...

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...

Selon BleepingComputer, à partir du mois prochain, Mozilla exigera des développeurs d’extensions Firefox de divulguer si leurs modules collectent ou partagent des données utilisateur avec des tiers. Points clés: Produit concerné: extensions Firefox Changement: obligation de divulgation par les développeurs Portée de la divulgation: collecte et/ou partage de données utilisateur avec des tiers Calendrier: entrée en vigueur dès le mois prochain Cet article est une annonce d’actualité produit dont l’objectif principal est d’informer sur une nouvelle exigence de divulgation pour les extensions Firefox. ...