ACTUALITES

Première alerte extrêmement critique pour Firefox

Par Jérome Saiz Lesnouvelles.net le 10/05/2005 - indexel.net

C'est la première fois qu'un lot de vulnérabilités du navigateur libre se voit attribuer un tel niveau de sévérité. Les deux failles, exploitées conjointement, permettent de télécharger et de faire exécuter du code malicieux sur les PC.

C'est une première dont Firefox se serait bien passé : une alerte jugée extrêmement critique par le site Secunia. Jusqu'à présent un tel niveau de sévérité était plutôt l'apanage d'Internet Explorer. Mais tout a une fin : Firefox souffre donc de deux failles particulièrement sournoises qui permettent, en les exploitant ensemble, de télécharger et de faire exécuter automatiquement du code sur le PC d'un internaute. Et cela, bien sûr, sans qu'il ne se doute de rien.

Dans le scénario le plus couramment accepté, l'attaque utilise tout d'abord les mécanismes d'installation des extensions de Firefox (les modules tiers). Par défaut, le navigateur n'autorise que les deux sites officiels de la Fondation Mozilla à télécharger de telles extensions. Mais un pirate pourrait tromper le navigateur et lui faire accepter d'installer des extensions en provenance de son propre site web tout en croyant qu'elles viennent des sites officiels. Cela ne serait pas suffisant pour les exécuter, mais le ver serait alors dans la pomme. C'est alors que la seconde faille entre en jeu. Elle permet de déclencher l'exécution du code téléchargé précédemment. Cette vulnérabilité se cache dans la validation des icônes, qui ne fait pas la différence entre le Javascript et le reste. En cliquant sur une simple image, il est alors possible de forcer le navigateur à exécuter le code "poussé" sur l'ordinateur au préalable en lui faisant croire à une extension officielle.

Des exploits circulent sur Internet pour abuser de ces deux failles. La Fondation Mozilla a réagi en modifiant ses deux serveurs de mise à jour afin qu'ils ne puissent plus être "imités" de la sorte. Cela protège donc les utilisateurs de Firefox qui n'ont pas ajouté d'autres serveurs dans la liste blanche des sites autorisés à offrir des extensions. C'est-à-dire la grande majorité... mais pas tous ! Pour les autres, il est nécessaire, en attendant un correctif officiel qui se fait désirer, de désactiver Javascript ou de décocher le bouton d'option qui autorise l'installation d'extensions par les sites autorisés. Une précaution à prendre quel que soit le navigateur.

Plus d'informations :

L'alerte (en français).

L'annonce sur le site de la Fondation Mozilla (en anglais).

L'ACTUALITE EN DIRECT

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

TOUTES LES ACTUS