Firefox corrige une faille WebGPU critique
Firefox corrige une faille WebGPU critique dans la mise à jour publiée par Mozilla le 11 novembre 2025. L’avis de sécurité MFSA2025-87 détaille plusieurs corrections déployées dans Firefox 145 pour combler des vulnérabilités liées au composant Graphics: WebGPU.
Cette actualité rappelle l’importance de suivre les mises à jour des navigateurs, car certaines des failles corrigées permettent potentiellement une corruption mémoire ou une sortie du bac à sable. Les administrateurs et utilisateurs sont invités à installer la version 145 (ou ESR 140.5 pour les environnements gérés) sans délai.
Contexte et annonce officielle
Mozilla a publié l’avis de sécurité MFSA2025-87 le 11 novembre 2025, qui liste les correctifs inclus dans Firefox 145. L’avis recense plusieurs CVE affectant le sous-système WebGPU et explique l’origine et la portée des vulnérabilités.
Les versions affectées sont les éditions de Firefox antérieures à la 145, soit tout navigateur Firefox 144 et antérieur. Pour les entreprises et environnements gérés, Mozilla a également publié des correctifs correspondants pour Firefox ESR 140.5.
La publication officielle fournit des références vers les entrées CVE et oriente vers les ressources de suivi (NVD, Ubuntu, OSV). Elle sert de point de départ pour l’analyse et le déploiement des correctifs au sein des distributions Linux et des gestionnaires de parc.
Détails techniques des vulnérabilités WebGPU
Les bugs concernent principalement des erreurs de vérification des conditions limites, appelées incorrect boundary conditions, dans l’implémentation WebGPU de Firefox. Ces erreurs peuvent conduire à une corruption mémoire si une entrée mal formée n’est pas correctement bornée.
Certaines descriptions précises parlent d’un risque de sandbox escape, c’est-à-dire la possibilité de sortir du bac à sable du navigateur. Une sortie de bac à sable peut permettre l’exécution de code arbitraire avec des privilèges plus élevés que ceux normalement accordés au rendu WebGPU.
Techniquement, ces vulnérabilités touchent la gestion interne des buffers et des ressources graphiques exposées via WebGPU, et la correction consiste à renforcer les contrôles de bornes et à valider plus strictement les paramètres fournis par le rendu ou les pages web.
CVE identifiées et chercheurs ayant rapporté les bugs
Mozilla a listé plusieurs CVE critiques liées à Graphics: WebGPU, dont CVE-2025-13021, CVE-2025-13022, CVE-2025-13023, CVE-2025-13025 et CVE-2025-13026. Ces entrées permettent de suivre les détails techniques dans les bases NVD, Ubuntu ou OSV.
Les rapports citent explicitement des chercheurs qui ont découvert et signalé ces vulnérabilités, par exemple Atte Kettunen (CVE-2025-13021 & 13022), Oskar L (CVE-2025-13023 & 13025) et Jamie Nicol (CVE-2025-13026). Ces contributions externes ont permis d’identifier rapidement les problèmes et d’accélérer les correctifs.
Les bases de données publiques indiquent des scores CVSS élevés pour plusieurs de ces CVE. Par exemple, certaines sont notées critique avec un score CVSS v3.1 d’environ 9.8, reflétant l’impact possible en confidentialité, intégrité et disponibilité.
Gravité, scores et métriques d’exploitation
Plusieurs CVE associées à WebGPU ont été qualifiées de critiques, avec des scores CVSS atteignant 9.8 pour des entrées comme CVE-2025-13021, CVE-2025-13022 et CVE-2025-13026. Ces scores indiquent un fort risque si la vulnérabilité est exploitée.
Malgré la sévérité élevée, les mesures d’EPSS montrent pour certains CVE une probabilité d’exploitation à court terme faible. Par exemple, CVE-2025-13021 affiche un EPSS estimé autour de 0,06% au moment des mesures, suggérant que l’exploitation active était jugée peu probable au lancement.
Les éditeurs de sécurité et les distributeurs (Ubuntu, Debian, etc.) ont néanmoins listé les CVE et mis à jour leurs paquets (Firefox/mozjs). La recommandation reste de corriger rapidement, car une exploitation ciblée pourrait changer rapidement la situation.
Impact pratique et risques pour les utilisateurs
Si une faille de type incorrect boundary condition est exploitée, l’attaquant peut provoquer une corruption mémoire pouvant mener à l’exécution de code arbitraire. Dans un navigateur moderne, cela peut signifier un accès au système hôte via une sortie du bac à sable.
L’impact technique se traduit par des risques élevés pour la confidentialité (exfiltration de données), l’intégrité (altération de contenu) et la disponibilité (plantages et dénis de service). Les environnements sensibles, machines de développement et postes administrateurs doivent être priorisés pour la mise à jour.
À la date de publication, les bulletins officiels et articles de synthèse n’indiquent pas d’exploitation en production connue. Cependant, la combinaison d’une sévérité critique et de la large diffusion de Firefox impose une réaction prompte pour limiter toute fenêtre d’opportunité aux attaquants.
Correctifs livrés et couverture par versions
Les corrections ont été livrées dans Firefox 145, avec des correctifs correspondants dans la branche ESR via Firefox ESR 140.5. Au total, cette mise à jour corrige environ 16 vulnérabilités, dont neuf classées high ou high-severity, plusieurs ciblant le sous-système graphique et WebGPU.
Les distributions et trackers de vulnérabilités tels qu’Ubuntu, Debian, NVD et OSV ont référencé les CVE et indiqué les versions empaquetées corrigées. Les administrateurs doivent vérifier les paquets fournis par leur distribution ou appliquer la mise à jour officielle Mozilla selon leur politique.
Les notes de publication de Mozilla et les bases de vulnérabilités restent les sources de référence pour l’audit et le suivi. Elles permettent de vérifier que les correctifs sont bien appliqués et d’identifier les systèmes encore vulnérables.
Recommandations pour les utilisateurs et administrateurs
La recommandation officielle de Mozilla est claire : mettre à jour immédiatement vers Firefox 145 ou, pour les environnements gérés, vers Firefox ESR 140.5. C’est la manière la plus simple et la plus sûre d’éliminer l’exposition liée à ces CVE WebGPU.
Pour les environnements Linux, vérifiez les paquets distribués par votre distribution (Ubuntu, Debian, etc.) et appliquez les mises à jour de sécurité. Les équipes de sécurité doivent aussi inventorier les postes qui utilisent des versions antérieures et planifier un déploiement prioritaire.
Enfin, surveillez les sources officielles (MFSA2025-87, NVD, Ubuntu Security Notices) et les trackers RDB pour les métriques EPSS/CVSS et les éventuels indicateurs d’exploitation, afin de réagir rapidement en cas d’évolution du risque.
En résumé, Firefox corrige une faille WebGPU critique avec la sortie de la version 145 et des correctifs ESR correspondants. Même si l’exploitation active n’a pas été signalée publiquement, la sévérité impose une mise à jour immédiate.
Appliquer les correctifs, valider les versions déployées et surveiller les bulletins de sécurité reste la meilleure pratique pour protéger postes et serveurs. Restez attentifs aux annonces officielles et auditerez vos parcs pour confirmer la conformité.
