Mozilla a livré 423 correctifs de sécurité pour Firefox en avril 2026, équivalant à peu près aux 14 mois précédents cumulés, après avoir obtenu l'accès à Claude Mythos Preview d'Anthropic. La seule version 150 d'avril comportait 271 correctifs — 179 notés sec-high, 80 sec-moderate, 11 sec-low — avec des correctifs supplémentaires répartis sur 149.0.2, 150.0.1 et 150.0.2. Parmi les exemples divulgués : un problème de réentrance XSLT vieux de 20 ans (Bug 2025977) dans lequel les appels key() pouvaient libérer le stockage sous-jacent et laisser un pointeur brut en cours d'utilisation, une faille de 15 ans dans l'élément HTML (Bug 2024437), un bug WebAssembly GC pouvant produire une primitive de faux objet pour lecture ou écriture arbitraire, des conditions de concurrence IPC affectant les compteurs de références du processus parent, une désérialisation NaN brut à travers une frontière IPC, et une fuite de mémoire de pile du processus parent lors de l'analyse DNS.
Pourquoi c'est important
Firefox est l'un des navigateurs les plus intensément audités au monde, scruté pendant deux décennies par des équipes internes, des chercheurs externes, des fuzzers et des chasseurs de bug bounty. Le fait qu'un défaut XSLT vieux de 20 ans ait survécu à cet examen constitue la donnée la plus frappante sur la durée pendant laquelle des failles à l'apparence exploitable peuvent persister dans des bases de code matures — et sur l'évolution du coût de découverte. Mozilla a attribué le débit à Claude Mythos Preview, tout en soulignant que le modèle ne représentait que la moitié du résultat. L'autre moitié était un harnais que l'entreprise a construit pour orienter le modèle vers des zones de code spécifiques, générer des cas de test reproductibles, filtrer le bruit, dédupliquer les résultats, trier la gravité et intégrer les bogues confirmés dans le cycle de vie de sécurité. Plus de 100 personnes ont contribué au code de l'effort de durcissement. Sans cette ossature opérationnelle, la sortie du modèle se serait effondrée sous son propre volume — le même fardeau de bruit qui avait rendu les rapports de sécurité générés par IA jusqu'alors inexploitables pour les mainteneurs open source.
Impact sur le marché
L'asymétrie est la véritable histoire. Un acteur hostile disposant d'outils de niveau Mythos avant la campagne d'avril de Mozilla aurait bénéficié d'une surface de recherche élargie, d'une génération plus rapide de preuves de concept et d'un inventaire plus profond de primitives chaînables — y compris des candidats à l'évasion de sandbox qui exigent de la précision plutôt que de l'échelle. Pour la pile crypto, l'implication est directe. Les navigateurs s'interposent entre les utilisateurs et les plateformes d'échange, les portefeuilles, les bridges, les tableaux de bord de custody, les portails de gouvernance et les consoles d'administration ; une compromission au niveau du navigateur visant un utilisateur ciblé peut détourner des sessions, manipuler les détails de transaction avant signature, injecter des invites de portefeuille, ou pivoter depuis la machine d'un développeur vers l'infrastructure opérationnelle.
Questions fréquemment posées
-
Quel est le bug vieux de 20 ans que Mozilla a divulgué dans Firefox ?
Le Bug 2025977 est un problème de réentrance XSLT dans lequel les appels key() pouvaient déclencher un rehachage de table de hachage, libérer le stockage sous-jacent et laisser un pointeur d'entrée brut en cours d'utilisation. C'est l'un des exemples divulgués issus de la vague de correctifs d'avril 2026 de Mozilla et…
-
Combien de bogues de sécurité Firefox a-t-il corrigés en avril 2026 ?
Mozilla a livré 423 correctifs de bogues de sécurité pour Firefox en avril 2026, la seule version 150 de Firefox en comportant 271 — 179 notés sec-high, 80 sec-moderate et 11 sec-low. Des correctifs supplémentaires sont arrivés dans 149.0.2, 150.0.1 et 150.0.2.
-
Comment Claude Mythos Preview d'Anthropic a-t-il aidé Mozilla à trouver des bogues ?
Mozilla a indiqué que Claude Mythos Preview était central pour le débit de découverte, mais l'entreprise a aussi construit un harnais autour du modèle pour l'orienter vers des zones de code spécifiques, générer des cas de test reproductibles, filtrer le bruit, dédupliquer les résultats, trier la gravité et router les…
-
Pourquoi cela importe-t-il pour les utilisateurs de crypto ?
Les navigateurs s'interposent entre les utilisateurs et les plateformes d'échange, les portefeuilles, les bridges, les tableaux de bord de custody, les portails de gouvernance et les consoles d'administration. Une compromission au niveau du navigateur peut détourner des sessions, manipuler les détails de transaction…
-
Qu'est-ce que l'asymétrie défenseur-attaquant dans la sécurité assistée par IA ?
Les attaquants n'ont besoin que de peu de résultats confirmés, peuvent garder leurs trouvailles privées et cibler un ensemble restreint de victimes. Les défenseurs doivent corriger largement, éviter les régressions, coordonner les publications et protéger les utilisateurs à mise à jour lente. La vague d'avril de…