Mozilla corrige deux failles de Firefox découvertes au Pwn2own 2025

Sur Firefox, les deux failles en question ont été jugées importantes. Elles permettaient des accès mémoire hors limites via des objets JavaScript. Malgré la démonstration réussie des exploits, aucune des attaques n’a permis de sortir du mode bac à sable (sandbox) du navigateur. Or pour mémoire, ce mécanisme de confinement a été conçu pour limiter les conséquences d’une compromission sur l’intégralité du système de la victime.

Les développeurs de Mozilla se sont montrés particulièrement réactifs. Ils ont publié un correctif le jour-même avec la publication de la version 138.0.4 de Firefox ainsi que des mises à jour pour les branches ESR (Extended Support Release) destinées aux entreprises et aux systèmes plus anciens (v128.10.1 et v115.23.1). Sur Android, Firefox a également été mis à jour.

Récemment, Mozilla a entrepris de renforcer la sécurité de l’interface de Firefox en supprimant plus de 600 gestionnaires d’événements JavaScript intégrés dans son code frontal. Désormais, la gestion des événements passe par des scripts externes, ce qui permet d’appliquer des politiques de sécurité du contenu (CSP) strictes. Cette approche limite l’exécution de code dynamique et autorise uniquement le chargement de ressources internes. par conséquent, cela réduit aussi les risques d’attaques XSS et d’injection de scripts dans l’interface du navigateur.

C’est grâce à cette nouvelle approche qu les hackers n’ont pas pu passer outre le mode de sandboxing. Pour Mozilla, ces failles ne sont donc pas réellement critiques, mais la fondation invite quand même les utilisateurs à mettre Firefox à jour.