Faille de l'URI Firefox : Mozilla reconnaît son erreur

Je ne vous jette pas la pierre Pierre ! 78
Cette histoire aurait presque pu être une amusante partie de ping-pong si le sujet de base n’avait pas été une faille hautement critique. Secunia publiait récemment un article sur son site détaillant ladite faille, exploitable via un URI installé avec Firefox. Exploitable depuis Internet Explorer, la faille a été sujette à une controverse entre Mozilla et Microsoft.

L'URI au centre du problème

Un URI, pour Uniform Resource Identifier, est donc un identifiant de ressource en même temps qu’il offre des moyens d’agir sur elle. Par exemple, une URL (Uniform Resource Locator) est un type d’URI, qui identifie une ressource Web et fournit les moyens d’interactions sur l’adresse elle-même.

Lorsque la version 2.0.0.5 du navigateur libre a été lancée, Window Snyder, responsable de la sécurité chez Mozilla, a indiqué que Firefox n’accepterait désormais plus les paramètres dangereux émis par Internet Explorer. Elle enjoignait alors la firme de Redmond à corriger ses propres problèmes, en insistant sur le fait que Microsoft ne comptait visiblement pas le faire. Évidemment, Microsoft n’a pas vraiment apprécié cette manière de faire les choses.

Microsoft piquée au vif

Jesper Johansson, expert en sécurité et l’un des anciens responsables du domaine chez Microsoft, a rétorqué quelque temps après que Snyder que « ceux qui sont assis dans une maison de verre ne devraient pas jeter des pierres ».

Bien entendu, puisque seule une remarque de ce genre ne pouvait pas suffire, il a appuyé son avis par une démonstration démontrant que Firefox ne respectait en fait pas la manière standard d’utiliser les URI, qui décrit notamment comment les guillemets doivent impérativement être filtrés. Puisque tel n’est pas le cas, Firefox accepte en conclusion l’injection de code JavaScript par ce moyen.

Lundi matin, dans un nouveau billet sur le blog de Mozilla dédié à la sécurité, Window Snyder a dû changer d’avis. Elle indique que de nouvelles preuves ont mis en évidence que Firefox était bien concerné par le problème. Les développeurs de Mozilla enquêtent donc sur la faille en fin de compte.

La version 2.0.0.6, actuellement en préparation, pourrait donc débarrasser le navigateur de cette faille. En attendant, il est toujours possible pour ceux qui souhaitent être protégés d’utiliser l’extension NoScript, dont le nom parlera de lui-même.
Publiée le 26/07/2007 à 07:30 - Source : Mozilla
Publicité