C’est le chercheur en sécurité Cody Crew qui a découvert la faille dans la «Same Origine Policy», permettant d’injecter un script dans le lecteur PDF.
Elle ne permet pas d’exécuter du code malveillant à distance, mais de chercher et voler des données sur l’ordinateur cible. Les systèmes Windows et GNU/Linux sont touchés, contrairement aux ordinateurs sous Mac OS X.
Le correctif a rapidement été mis en place pour les versions 38.1.1 ESR et 39. Les utilisateurs sont donc appelés à le télécharger au plus vite, car cette vulnérabilité aurait déjà été exploitée sur un site d’information russe.
Pour en savoir plus, rendez-vous sur le blog sécurité de Mozilla.
