Navigation
L'actualité informatique et multimédia
Une faille dans Firefox, un trou qui prend l’air
Une vulnérabilité critique a été décelée au sein de Mozilla Firef...
Une vulnérabilité critique a été décelée au sein de Mozilla Firef...
Une vulnérabilité critique a été décelée au sein de Mozilla Firefox. Exploitée par des mains habiles, elle permet à une personne distante de faire exécuter des commandes arbitraires sur la machine vulnérable. Et, grosso modo, de faire télécharger et auto exécuter un fichier malicieux.
" Le problème résulte d'une erreur de permissions présente au niveau de la procédure d'installation des thèmes et extensions firefox » explique le site FrSIRT. Cette procédure ne filtre pas correctement certains paramètres spécialement conçus, à l'aide de code Javascript.
" Cette faille est suffisante pour compromettre le système" nous a confié Paul de GreyHats Security, le découvreur de ce bug. "Ce système d'installation ne fonctionne par défaut que depuis le site update.mozilla.org ou addon.mozilla.org". Toutefois, la faille en elle-même n'est pas suffisante pour percer la sécurité de l'ordinateur hôte. "C'est par le biais d'une autre vulnérabilité, un CSS [NDRL : cross site scripting] que l'on peut faire appeler la fonction d'installation depuis mozilla.org ".
Il n'y eu aucun correctif publié à ce jour. les spécialistes préconisent en attendant de désactiver JavaScript ou l'option "Permettre aux sites web d'installer des logiciels" (menu Outils , Options puis Fonctionnalités Web).
Les circonstances de publication de cette faille sont troubles. La faille aurait donc été découverte par Paul de GreyhatSecurity et l'un de ses amis, Michael Krax (du site Mickx.de), deux chercheurs qui se penchent ponctuellement sur la sécurité du célèbre navigateur. Comme l'expose Paul, la faille devait rester à l'abri mais, ironie du sort, leurs travaux ont été publiés sans leur accord. "j'essaye actuellement de rassembler toutes les informations sur la façon dont ma recherche a été exposée au public. Des conversations récentes me mènent à croire qu'il s'agit plutôt d'un défaut de confiance vis à vis d'un proche plutôt que piratage d'un de mes serveurs" nous confie ce spécialiste en sécurité. "Je ne veux pas plonger sur des conclusions trop rapides car ceci me mènera seulement à plus de problèmes. C'est tout que je dirai sur ce sujet car je ne veux offenser personne".
Face à ce full disclosure d'un genre particulier, Paul exprime ses sincères regrets à la Fondation Mozilla ainsi qu'à tous ceux « qui ont été touchés par cette action inconsidérée et irresponsable d'un individu ».
" Le problème résulte d'une erreur de permissions présente au niveau de la procédure d'installation des thèmes et extensions firefox » explique le site FrSIRT. Cette procédure ne filtre pas correctement certains paramètres spécialement conçus, à l'aide de code Javascript.
" Cette faille est suffisante pour compromettre le système" nous a confié Paul de GreyHats Security, le découvreur de ce bug. "Ce système d'installation ne fonctionne par défaut que depuis le site update.mozilla.org ou addon.mozilla.org". Toutefois, la faille en elle-même n'est pas suffisante pour percer la sécurité de l'ordinateur hôte. "C'est par le biais d'une autre vulnérabilité, un CSS [NDRL : cross site scripting] que l'on peut faire appeler la fonction d'installation depuis mozilla.org ".
Il n'y eu aucun correctif publié à ce jour. les spécialistes préconisent en attendant de désactiver JavaScript ou l'option "Permettre aux sites web d'installer des logiciels" (menu Outils , Options puis Fonctionnalités Web).
Les circonstances de publication de cette faille sont troubles. La faille aurait donc été découverte par Paul de GreyhatSecurity et l'un de ses amis, Michael Krax (du site Mickx.de), deux chercheurs qui se penchent ponctuellement sur la sécurité du célèbre navigateur. Comme l'expose Paul, la faille devait rester à l'abri mais, ironie du sort, leurs travaux ont été publiés sans leur accord. "j'essaye actuellement de rassembler toutes les informations sur la façon dont ma recherche a été exposée au public. Des conversations récentes me mènent à croire qu'il s'agit plutôt d'un défaut de confiance vis à vis d'un proche plutôt que piratage d'un de mes serveurs" nous confie ce spécialiste en sécurité. "Je ne veux pas plonger sur des conclusions trop rapides car ceci me mènera seulement à plus de problèmes. C'est tout que je dirai sur ce sujet car je ne veux offenser personne".
Face à ce full disclosure d'un genre particulier, Paul exprime ses sincères regrets à la Fondation Mozilla ainsi qu'à tous ceux « qui ont été touchés par cette action inconsidérée et irresponsable d'un individu ».
Rédigée par le lundi 09 mai 2005 à 11h18 (6015 lectures)
Le reste de l'actualité :
09-05-05 : Athlon64 en socket M2 dès 2006, Opteron en socket F
09-05-05 : Bram Cohen : BitTorrent 2 n'est pas une priorité
09-05-05 : Une autre photo de la Xbox 360 et de ses accessoires
09-05-05 : NVIDIA G70 : pas si gourmand que ça ?
09-05-05 : Ma-config.com nous arrive dans sa version 2.0
09-05-05 : Une faille dans Firefox, un trou qui prend l’air
09-05-05 : La déferlante VoIP balaye la téléphonie classique
09-05-05 : Google s'est-il vraiment fait pirater ce week-end ?
09-05-05 : Le top 20 des failles de sécurité selon le SANS
09-05-05 : Mini calculateur Orion à emporter partout
09-05-05 : Bram Cohen : BitTorrent 2 n'est pas une priorité
09-05-05 : Une autre photo de la Xbox 360 et de ses accessoires
09-05-05 : NVIDIA G70 : pas si gourmand que ça ?
09-05-05 : Ma-config.com nous arrive dans sa version 2.0
09-05-05 : Une faille dans Firefox, un trou qui prend l’air
09-05-05 : La déferlante VoIP balaye la téléphonie classique
09-05-05 : Google s'est-il vraiment fait pirater ce week-end ?
09-05-05 : Le top 20 des failles de sécurité selon le SANS
09-05-05 : Mini calculateur Orion à emporter partout
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0129 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0129 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
