Mozilla publie une mise à jour critique pour Firefox. Elle corrige la faille CVE-2025-13016 dans le moteur WebAssembly. Cette vulnérabilité touche plus de 180 millions d’utilisateurs.

Les chercheurs d’Aisle détectaient l’erreur en octobre 2025. Avant cela, le code défaillant circulait depuis avril. Il générait un dépassement de tampon lors de la gestion des tableaux WebAssembly.

Ainsi, un site malveillant pouvait exécuter du code arbitraire. L’attaque nécessitait une visite utilisateur et une pression mémoire précise. Le score CVSS atteignait 7,5, niveau élevé. Les versions Firefox 143 à 144 et ESR avant 140.5 restaient concernées. Mozilla confirmait le problème et déployait le correctif rapidement.

Désormais, Firefox 145 et ESR 140.5 bloquent l’exploitation. Les distributions Linux diffusaient aussi les patchs en urgence. Cette affaire soulignait les limites des tests humains.

En effet, un test de régression accompagnait pourtant le code vulnérable. Les experts recommandaient une vérification via about:support. Par ailleurs, les mises à jour automatiques limitaient les risques futurs. Enfin, Thunderbird subissait une faille similaire.