Le 19 mai 2026, Mozilla a publié Firefox 151 accompagné d'un bulletin de sécurité officiel couvrant 27 CVE distincts. Si votre organisation tourne encore sur une version antérieure, lisez ce qui suit avant de faire autre chose.
Firefox 151 est sorti le 19 mai 2026. L'advisory Mozilla MFSA 2026-46 recense exactement 27 identifiants CVE : 5 de sévérité haute, 11 modérée, 11 faible. Notez que certaines sources secondaires citent des chiffres légèrement différents, 29 ou 30 vulnérabilités, selon la méthode de comptage. La référence à retenir est le bulletin officiel Mozilla : 27 CVE, dont 5 classés High.
Les versions ESR sont également concernées : Firefox ESR 140.11 et Firefox ESR 115.36 embarquent des correctifs mémoire liés à ce cycle de publication. Si votre parc enterprise déploie l'une de ces branches, la mise à jour est tout aussi urgente.
Cinq failles de sévérité haute dans un seul cycle, c'est au-dessus de la moyenne habituelle pour Firefox. Ce n'est pas une question de communication alarmiste : les types de vulnérabilités concernés, échappement de bac à sable, use-after-free, contournement de la politique same-origin, figurent systématiquement dans les chaînes d'exploitation utilisées par les groupes APT et les opérateurs de ransomware.
Un attaquant qui combine CVE-2026-8947 (use-after-free) avec CVE-2026-8945 (sandbox escape) dispose, en théorie, d'une primitive d'exécution de code arbitraire suivie d'un mécanisme pour sortir du confinement du navigateur. C'est exactement le schéma qu'on observe dans les kits d'exploitation ciblant les environnements d'entreprise. Votre surface d'attaque inclut chaque poste de travail sur lequel Firefox est installé, et dans beaucoup d'organisations, c'est la totalité du parc.
Autre point à souligner : Malwarebytes précise qu'aucune exploitation active n'était confirmée au moment de la publication. C'est une fenêtre. Elle ne durera pas indéfiniment.
CVE-2026-8945, Sandbox escape (Firefox et Firefox Focus Android). L'échappement du bac à sable est la classe de vulnérabilité la plus grave dans un navigateur moderne. Si un attaquant peut déclencher ce bug, le code malveillant s'exécute en dehors de l'environnement isolé de Firefox et interagit directement avec le système d'exploitation. Sur Android, Firefox Focus est explicitement mentionné, ce qui étend la surface à la flotte mobile.
CVE-2026-8946, Mauvaise gestion des limites dans Web Codecs. Le composant Audio/Video Web Codecs traite des flux multimédia potentiellement fournis par n'importe quel site web. Une condition aux frontières incorrecte peut mener à une lecture ou écriture hors limites, ouvrant la voie à une corruption mémoire contrôlée par l'attaquant.
CVE-2026-8947, Use-after-free dans DOM Bindings (WebIDL). Les bugs use-after-free restent parmi les primitives d'exploitation les plus fiables. Ici, le problème se situe dans la couche WebIDL, qui fait l'interface entre le JavaScript de la page et les objets internes du navigateur. Une page malveillante peut potentiellement déclencher ce chemin de code via du JavaScript ordinaire.
CVE-2026-8948, Contournement de la politique same-origin dans DOM Networking. La same-origin policy est un pilier de l'isolation entre origines web. Son contournement permet à une page hostile de lire des ressources appartenant à une autre origine, ce qui menace directement les sessions authentifiées, les cookies et les données métier accessibles via le navigateur.
CVE-2026-8973, Bugs de sécurité mémoire avec traces de corruption. Ce CVE agrège plusieurs défauts de gestion mémoire. Mozilla n'exclut pas qu'ils puissent être exploités pour exécuter du code arbitraire. Ce type de CVE groupé est classiquement difficile à analyser de l'extérieur, mais la mention explicite de "preuves de corruption mémoire" justifie la cote High.
Une mention à part pour CVE-2026-8953, que Malwarebytes décrit comme un sandbox escape via un use-after-free dans les API d'accessibilité (Disability Access APIs). Dans le bulletin officiel Mozilla MFSA 2026-46, ce CVE figure dans la liste modérée, pas haute. La source primaire fait foi : il reste à corriger, mais sa priorité est inférieure aux cinq listés ci-dessus.
Firefox 151 n'est pas une sortie purement défensive. Mozilla a profité de ce cycle pour introduire trois améliorations de confidentialité concrètes, et elles méritent l'attention des équipes sécurité autant que des utilisateurs finaux.
Réduction du fingerprinting. La protection renforcée contre le pistage (mode Standard) réduit désormais le nombre d'utilisateurs identifiables de façon unique. Selon les chiffres cités par PCWorld, la réduction est de 14 % en moyenne globale, avec jusqu'à 50 % sur macOS. Malwarebytes précise ce chiffre macOS à environ 49 %. La légère divergence entre les deux sources secondaires est probablement due à un arrondi ou à une date de publication différente. Pour les postes macOS dans vos environnements, l'impact est significatif : les outils de tracking tiers qui s'appuient sur le fingerprinting pour identifier vos collaborateurs sans cookie voient leur efficacité fortement réduite.
Bouton "Fin de session privée". Firefox 151 ajoute un bouton dédié qui purge toutes les données de la session de navigation privée en cours sans fermer les fenêtres. C'est un gain opérationnel pour les utilisateurs qui gèrent plusieurs sessions simultanément, et un vecteur de réduction de l'exposition pour les postes partagés ou les environnements à accès temporaire.
Contrôle des accès réseau local. Désormais, les sites web doivent explicitement demander la permission avant de pouvoir contacter des appareils sur le réseau local (imprimantes, NAS, objets connectés, interfaces d'administration interne). C'est une barrière directe contre une classe d'attaques bien documentée : les pages malveillantes qui scannent le LAN via le navigateur pour cartographier l'infrastructure interne ou atteindre des services non exposés sur internet. Pour les environnements industriels ou les réseaux segmentés, cette fonctionnalité mérite d'être testée et validée en production.
Ces trois points s'inscrivent dans une logique plus large de réduction de la surface exploitable par des tiers, ce qui complète efficacement les correctifs de sécurité purs. Pour aller plus loin sur la façon dont les navigateurs s'intègrent dans votre modèle de menace, consultez notre introduction à la cyber threat intelligence.
Selon l'advisory Mozilla MFSA 2026-46, les produits affectés sont :
Firefox : toutes les versions antérieures à 151. C'est la branche grand public et la plus répandue en entreprise lorsque Firefox n'est pas géré via une politique centralisée.
Firefox ESR 140.11 : branche Extended Support Release destinée aux déploiements enterprise. Si votre DSI a standardisé sur ESR 140.x, la version cible est désormais 140.11.
Firefox ESR 115.36 : branche ESR longue durée, encore utilisée dans certaines organisations aux cycles de mise à jour contraints (secteur public, industrie). Elle reçoit les correctifs mémoire de ce cycle.
Firefox Focus pour Android : directement mentionné dans CVE-2026-8945. Si votre organisation autorise Firefox Focus sur les terminaux Android gérés, la mise à jour est à prioriser.
La réponse immédiate est simple : pousser Firefox 151 (ou ESR 140.11 / ESR 115.36) sur l'ensemble du parc dans les 48 heures. Sur un poste individuel, Menu > Aide > À propos de Firefox déclenche la vérification et l'installation. En environnement managé, passez par votre outil de déploiement habituel (SCCM, Intune, Jamf, etc.).
Quelques points spécifiques pour les environnements enterprise :
Vérifiez la branche ESR de référence. ESR 140.11 et ESR 115.36 ne sont pas interchangeables selon votre politique de support. Identifiez la branche active dans votre parc avant de pousser la mise à jour pour éviter une migration non planifiée.
Incluez Firefox Focus dans votre périmètre MDM. Les terminaux Android gérés qui autorisent Firefox Focus doivent recevoir la mise à jour via votre console MDM. CVE-2026-8945 s'y applique directement.
Testez les nouvelles restrictions réseau local. La fonctionnalité de permission d'accès réseau local peut interrompre des workflows internes qui s'appuient sur des ressources LAN accessibles via le navigateur (interfaces d'administration, outils de développement, applications métier locales). Un test en environnement de pré-production avant déploiement large est conseillé.
Documentez et tracez. Dans les secteurs réglementés (finance, santé, administration publique), conservez la preuve du déploiement du correctif avec horodatage. En cas d'incident ultérieur, c'est un élément clé pour démontrer la diligence raisonnable. Les indicateurs de compromission liés à ces CVE, s'ils sont publiés, devront être intégrés à vos règles de détection dès que disponibles.
Aucune exploitation active n'avait été signalée à la date de publication. Mais avec cinq CVE High publiés et des détails techniques disponibles, la fenêtre de mise à jour est courte. Agissez maintenant, pas la semaine prochaine.
Oui, dans ce cycle. Les branches ESR 140.11 et ESR 115.36 embarquent des correctifs mémoire directement liés aux vulnérabilités couvertes par MFSA 2026-46. L'avantage de l'ESR, à savoir un cycle de mise à jour plus espacé, ne change rien à l'urgence ici : les failles High s'appliquent aux deux branches.
Pas nécessairement. CVE-2026-8945 affecte Firefox Focus pour Android, mais une mise à jour corrige le problème. Si votre MDM ne peut pas garantir la mise à jour dans un délai court, une restriction temporaire d'accès à l'application est une option raisonnable jusqu'à ce que le déploiement soit complété.
C'est possible, en particulier pour les outils qui communiquent avec des services hébergés localement via le navigateur (interfaces d'administration, outils de développement, capteurs IoT). Testez Firefox 151 sur un groupe pilote représentatif de vos environnements avant tout déploiement massif, et documentez les exceptions nécessaires.
Via votre outil d'inventaire (Lansweeper, SCCM, Intune, etc.), exportez la liste des versions de Firefox installées et comparez-les aux cibles : 151 pour la branche standard, 140.11 ou 115.36 pour ESR. Tout poste sous ces seuils doit être priorisé dans votre cycle de patch immédiat.
