Une vulnérabilité découverte dans Firefox pour iOS
Le service gouvernemental français de réponse aux incidents informatiques (CERT-FR) a publié un avis de sécurité le 26 mai 2026 concernant une vulnérabilité affectant le navigateur Firefox pour iOS. Identifiée sous la référence CVE-2026-9078, cette faille permet à un attaquant de contourner la politique de sécurité du navigateur, exposant potentiellement les utilisateurs à des risques d'exécution de code non autorisé ou d'accès à des données sensibles.
Systèmes affectés et correctif
Selon le bulletin de sécurité Mozilla mfsa2026-52 daté du 25 mai 2026, la vulnérabilité touche toutes les versions de Firefox pour iOS antérieures à la version 151.1. La version corrigée 151.1 est désormais disponible. Les utilisateurs sont invités à mettre à jour leur navigateur sans délai via l'App Store d'Apple.
Détails techniques et risques
Le contournement de la politique de sécurité peut permettre à un site web malveillant ou à une extension compromise de violer les restrictions habituelles du navigateur, notamment en matière de sandboxing ou de gestion des origines. Le CERT-FR classe le risque comme un « contournement de la politique de sécurité », sans préciser le niveau de criticité. Les chercheurs en sécurité n'ont pas encore divulgué publiquement les détails techniques de la faille pour limiter les risques d'exploitation avant le déploiement généralisé du correctif.
Recommandations
Les utilisateurs de Firefox sur iPhone et iPad doivent vérifier leur version dans les paramètres du navigateur (menu « À propos de Firefox »). Si la version est inférieure à 151.1, il est impératif d'effectuer la mise à jour. Les organisations utilisant des appareils mobiles gérés doivent appliquer la mise à jour via leurs outils de gestion de terminaux mobiles (MDM) dès que possible.
Contexte
Cette alerte s'inscrit dans un cycle régulier de correctifs de sécurité pour les produits Mozilla. Le géant informatique publie chaque mois des mises à jour de sécurité pour ses navigateurs. Firefox pour iOS, basé sur le moteur WebKit imposé par Apple, reste toutefois exposé à des vulnérabilités propres à sa couche applicative. Aucun cas d'exploitation active n'a été signalé à ce jour par les autorités.
