Cette semaine, Mozilla a mis à jour Firefox en publiant la version 88, en ajoutant une autre défense anti-pistage, celle-ci étant destinée à contrecarrer les abus de la variable JavaScript window.name.
Les développeurs de la société ont également corrigé 13 vulnérabilités, dont cinq sont qualifiées d' »élevées », la deuxième étiquette la plus sérieuse de Firefox. « Nous supposons qu’avec suffisamment d’efforts, cette vulnérabilité aurait pu être exploitée pour exécuter un code arbitraire », a noté Mozilla pour trois de ces cinq vulnérabilités. Aucun n’a été marqué « Critique ».
Firefox 88 peut être téléchargé pour Windows, macOS et Linux sur le site de Mozilla. Comme Firefox se met à jour en arrière-plan, la plupart des utilisateurs peuvent relancer le navigateur pour installer la dernière version. Pour effectuer une mise à jour manuelle sous Windows, faites apparaître le menu sous les trois barres horizontales en haut à droite, puis cliquez sur l’icône d’aide (le point d’interrogation dans un cercle).
Choisissez « À propos de Firefox ». (Sur macOS, « À propos de Firefox » se trouve dans le menu « Firefox ».) La page ou la fenêtre contextuelle qui s’affiche indique que le navigateur est déjà à jour ou présente le processus de mise à jour.
Mozilla met à jour Firefox toutes les quatre semaines ; la dernière actualisation a eu lieu le 23 mars.
Fuite autour de window.name
Le changement le plus notable de Firefox 88 est sans aucun doute celui-là, que Mozilla décrit comme « une nouvelle protection contre les fuites de données personnelles », conçue pour que « les traqueurs ne soient plus en mesure d’abuser de la propriété window.name pour suivre les utilisateurs à travers les sites Web ».
La variable JavaScript window.name peut stocker toutes les données que le site désire, et parce qu’elle a largement échappé aux politiques des navigateurs conçues pour empêcher les sites de partager des données, les annonceurs en ont abusé pour suivre les mouvements des utilisateurs sur le web.
« Les sociétés de suivi (…) en ont fait un canal de communication pour le transport des données entre les sites web », a affirmé Mozilla. « Pire, des sites malveillants ont pu observer le contenu de window.name pour recueillir des données privées d’utilisateurs qui ont été divulguées par inadvertance par un autre site web. »
Firefox 88 efface désormais la propriété window.name lorsque l’utilisateur navigue d’un site à l’autre, bloquant ainsi efficacement l’abus. (Le navigateur applique également une paire de règles qui empêcheront la plupart des violations de sites par une application légitime du partage de données window.name).
Avec cette nouvelle technique favorable à la protection de la vie privée, Mozilla suit Apple, dont le Safari efface déjà window.name. Chromium (et donc Chrome de Google et Edge de Microsoft) n’a pas encore mis en œuvre quelque chose de similaire, bien que le projet open-source travaille sur une solution.
Et c’est à peu près tout
Mis à part le blocage de window.name par Mozilla, Firefox 88 ne peut se targuer que d’une poignée de changements, tous mineurs. (C’est ainsi que vont certaines mises à jour lorsqu’un navigateur sort tous les 28 jours).
Mozilla a supprimé « Prendre une capture d’écran » du menu « Actions de la page » dans la barre d’adresse (ce menu est appelé en cliquant sur l’icône à trois points près de l’extrémité droite de la barre). À la place, « Prendre une capture d’écran » apparaît désormais dans le menu contextuel du clic droit.
Par mesure de sécurité, Firefox 88 a désactivé la prise en charge de FTP (file transfer protocol), une norme ancienne (et peu utilisée) pour le déplacement de fichiers sur Internet. Il est actuellement prévu de le supprimer complètement avec la mise à jour du 29 juin de Firefox 90.
« Les formulaires PDF prennent désormais en charge le JavaScript intégré dans les fichiers PDF. Certains formulaires PDF utilisent JavaScript pour la validation et d’autres fonctions interactives », a déclaré Mozilla dans les notes de mise à jour de Firefox 88. Cependant, certains s’inquiètent du fait que cette prise en charge – l’exécution de JavaScript, notoirement connu pour être exploité par des cybercriminels, simplement en ouvrant un PDF – constitue un problème de sécurité potentiel.
La prochaine version, Firefox 89, sera publiée le 1er juin. C’est dans six semaines, un écart par rapport à l’intervalle habituel de quatre semaines des versions de Mozilla. Le successeur de Firefox 89, la version 90, sera expédié le 29 juin, soit quatre semaines plus tard.