actualit�
 L'actualité informatique et multimédia
 Une nouvelle faille hautement critique pour Firefox 2.0
 Papier de verre, colle, rustine, pompe : c'est parti
Navigateur

firefox failleRestons dans le domaine de la sécurité ce matin avec la publication par Secunia d’un bulletin concernant le navigateur Firefox de Mozilla. Ce dernier est victime d’une faille jugée « hautement critique ».

Cette faille touche l’URI « firefoxurl:// » et la manière dont on peut l’utiliser. Un URI, pour Uniform Resource Identifier, est donc un identifiant de ressource en même temps qu’il offre des moyens d’agir sur elle. Par exemple, une URL (Uniform Resource Locator) est un type d’URI, qui identifie une ressource web et fournit les moyens d’interactions sur l’adresse elle-même.

Dans le cadre de Firefox, l’installation du navigateur enregistre dans la base de registre de Windows l’URI « firefoxurl:// » qui sert en fait à appeler une instance du navigateur depuis une autre application. Puisque l’URI peut servir à préciser certains paramètres, comme par exemple « -chrome », on obtient une solution relativement complète pour appeler Firefox en dehors de son utilisation de base.

On parle alors d’une « invocation » du navigateur, accompagnée d’une série de paramètres. Et ce sont ces paramètres qui coincent, notamment ceux qui font appel au paramètre « -chrome ». Il est en effet possible d’introduire dans l’URI un code JavaScript qui s’exécutera alors de manière totalement arbitraire dans le navigateur. Dès lors, une page web malveillante, spécialement conçue pour l’occasion, pourrait exploiter la faille depuis un autre navigateur, comme Internet Explorer.

Il faut certes que Firefox soit bel et bien présent sur le système, mais le navigateur est présent sur un nombre de machines en augmentation. La faille est effective sur la version 2.0.0.4 du navigateur, et fonctionne sur un système Windows XP Service Pack 2. Selon Secunia, d’autres versions du navigateur et d’autres systèmes pourraient être touchées.

En attendant une solution par Mozilla, la société de sécurité recommande de faire attention aux sites visités. On notera que, selon nos confrères de PC Advisor, Microsoft a indiqué ne pas être en tort, tandis que les développeurs de Mozilla ont réagi en précisant que le comportement de la gestion des URI serait modifié dans la prochaine mise à jour du navigateur.

Rédigée par le mercredi 11 juillet 2007 à 11h35 (28533 lectures)
Source de l'INformation : Secunia
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news
INpact Premium

Il y a 78 commentaires dont 78 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

06 juin 2007   Quatre nouvelles failles pour Internet Explorer et Firefox
31 mai 2007   Firefox : mises à jour de sécurité 2.0.0.4 et 1.5.0.12
21 mai 2007   Secunia : attention aux logiciels qui ne sont pas à jour !
26 avril 2007   Firefox : un sursis de deux semaines pour la version 1.5
05 avril 2007   Firefox : Mozilla se penche sur les réseaux sociaux
04 avril 2007   Une solution aux problèmes de WMP sous Firefox
24 février 2007   Nouvelles mises à jour pour Mozilla Firefox 1.5 et 2.0
23 novembre 2006   Firefox, Internet Explorer 7 : une faille sur les mots de passe

Recherches relatives : firefox - faille critique - URI - secunia