actualité
 L'actualité informatique et multimédia
 Faille de l'URI Firefox : Mozilla reconnaît son erreur
 Je ne vous jette pas la pierre Pierre !
Navigateur

Cette histoire aurait presque pu être une amusante partie de ping-pong si le sujet de base n’avait pas été une faille hautement critique. Secunia publiait récemment un article sur son site détaillant ladite faille, exploitable via un URI installé avec Firefox. Exploitable depuis Internet Explorer, la faille a été sujette à une controverse entre Mozilla et Microsoft.

L'URI au centre du problème

Un URI, pour Uniform Resource Identifier, est donc un identifiant de ressource en même temps qu’il offre des moyens d’agir sur elle. Par exemple, une URL (Uniform Resource Locator) est un type d’URI, qui identifie une ressource Web et fournit les moyens d’interactions sur l’adresse elle-même.

Lorsque la version 2.0.0.5 du navigateur libre a été lancée, Window Snyder, responsable de la sécurité chez Mozilla, a indiqué que Firefox n’accepterait désormais plus les paramètres dangereux émis par Internet Explorer. Elle enjoignait alors la firme de Redmond à corriger ses propres problèmes, en insistant sur le fait que Microsoft ne comptait visiblement pas le faire. Évidemment, Microsoft n’a pas vraiment apprécié cette manière de faire les choses.

Microsoft piquée au vif

Jesper Johansson, expert en sécurité et l’un des anciens responsables du domaine chez Microsoft, a rétorqué quelque temps après que Snyder que « ceux qui sont assis dans une maison de verre ne devraient pas jeter des pierres ».

Bien entendu, puisque seule une remarque de ce genre ne pouvait pas suffire, il a appuyé son avis par une démonstration démontrant que Firefox ne respectait en fait pas la manière standard d’utiliser les URI, qui décrit notamment comment les guillemets doivent impérativement être filtrés. Puisque tel n’est pas le cas, Firefox accepte en conclusion l’injection de code JavaScript par ce moyen.

Lundi matin, dans un nouveau billet sur le blog de Mozilla dédié à la sécurité, Window Snyder a dû changer d’avis. Elle indique que de nouvelles preuves ont mis en évidence que Firefox était bien concerné par le problème. Les développeurs de Mozilla enquêtent donc sur la faille en fin de compte.

La version 2.0.0.6, actuellement en préparation, pourrait donc débarrasser le navigateur de cette faille. En attendant, il est toujours possible pour ceux qui souhaitent être protégés d’utiliser l’extension NoScript, dont le nom parlera de lui-même.

Rédigée par le jeudi 26 juillet 2007 à 07h30 (18532 lectures)
Source de l'INformation : Mozilla
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news
syndication netvibes scoopeo wikio

Il y a 78 commentaires dont 78 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

24 juillet 2007   Firefox 2.0.0.5 : une faille qui révèle les mots de passe
20 juillet 2007   Thunderbird est disponible en version 2.0.0.5
20 juillet 2007   Opera 9.22 : stabilité et mises à jour de sécurité
18 juillet 2007   Shiira : un navigateur plus qu'intéressant pour Mac OS X (MAJ)
18 juillet 2007   Nouvelle version 2.0.0.5 pour le navigateur Firefox
16 juillet 2007   Firefox 2 dame le pion à Internet Explorer 7 en Europe
11 juillet 2007   Mozilla : la bêta de Firefox 3.0 repoussée à septembre
11 juillet 2007   Une nouvelle faille hautement critique pour Firefox 2.0

Recherches relatives : microsot - internet explorer - mozilla firefox