Toujours aussi avare de détails, Mozilla se contente de la rapide description de cette nouvelle vulnérabilité, la deuxième découverte en une semaine. Il faut aller chercher du côté de Coinbase pour apprendre que les deux failles ont été associées pour créer un exploit visant les salariés des plateformes d’échange de cryptomonnaies.
La semaine dernière, Mozilla patchait une faille critique de Firefox. CVE-2019-11707 était brièvement décrite comme une vulnérabilité de « type confusion » dans la manière dont Array.pop gérait les objets Javascript. En résultait un crash. Aucune autre information n’était disponible, sinon que cette faille avait été exploitée, et découverte par les équipes du Project Zero de Google et de Coinbase.
Le lendemain, nouveau correctif pour une nouvelle faille, celle-ci de sévérité haute. Une évasion de sandbox, nous apprend la description de CVE-2019-11708. Dans le détail, « un filtrage insuffisant des paramètres transmis avec le message IPC Prompt :Open entre les processus enfant et parent peut avoir pour conséquence que le processus parent non-sandboxed ouvre du contenu Web choisi par un processus enfant compromis ».
« Lorsque combiné à des vulnérabilités supplémentaires, cela peut entraîner l'exécution de code arbitraire sur l'ordinateur de l'utilisateur » ajoute Mozilla. Tiens tiens, mais de quelle autre vulnérabilité peut-il donc s’agir ? Mozilla ne le précise pas, mais ne faisons pas durer le suspense plus longtemps : il s’agit bien entendu de CVE-2019-11707, découverte la veille.
Coinbase ciblé
L’information est à aller chercher du côté de la sécurité de Coinbase, qui a rapporté cette seconde faille. Sur Twitter, Philip Martin, employé de Coinbase, explique que lundi dernier, la plateforme a détecté et bloqué une tentative d’exploitation de CVE-2019-11707, couplée à CVE-2019-11708, visant les employés de Coinbase.
A priori, le ou les attaquants ont procédé d’abord par phishing, envoyant aux employés de la plateforme un mail contenant un lien qui, ouvert dans Firefox, exploitait ces deux vulnérabilités pour exfiltrer du terminal mots de passe et autres données du navigateur. « Nous n'étions pas la seule organisation crypto ciblée dans cette campagne. Nous travaillons pour informer les autres organisations qui, à notre avis, ont également été visées » explique Philip Martin. Les clients de la plateforme n’ont pour leur part pas été affectés. Un post de blog détaillé devrait être prochainement publié.