Sortie de Firefox 3.6.4 : il isole les plugins mais laisse une faille critique

Je dirais même plus, d'une grosse faille très critique 102
L'isolation des plugins dans Firefox à la façon de Chrome était prévue depuis un moment. Elle accompagne la refonte de la gestion de ces modules, qui causent souvent l'instabilité du navigateur.

Mise à jour Firefox

Avec les versions Windows et Linux, les plugins Adobe Flash, Apple Quicktime et Microsoft Silverlight ne feront plus planter le navigateur car ils sont désormais isolés dans des processus séparés. Si l'un d'eux "crashe", il suffit de rafraichir la page pour le relancer. Les autres plugins les plus populaires seront intégrés dans les prochaines versions, tout comme les autres systèmes d'exploitation.

Flash crash Firefox

Cette isolation (nommée projet « Lorentz ») est la première étape du projet « Electrolysis », qui à terme séparera chaque onglet et chaque plugin dans un processus individuel. Pour effectuer cette mise à jour, cliquez sur "installer la mise à jour" dans le menu "?" de Firefox. Ou téléchargez-la sur le site de Mozilla.

D'autres changements de sécurité et de stabilité ont été effectués, dont la liste complète est disponible sur cette page. Mais en parlant de sécurité, un bug plutôt grave n'a pas été corrigé.

Une faille critique non corrigée, mais publique


Le chercheur en sécurité Michal Zalewski a découvert une faille apparaissant quand un site ouvre une nouvelle fenêtre ou un nouvel onglet. Un attaquant peut injecter du code arbitraire dans cette fenêtre ou onglet, tout en continuant d'afficher une fausse URL apparemment légitime.

Le problème vient du fait que la page about:blank (en français "sans titre") affichée est considérée comme ayant la même origine que le site qui a provoqué son ouverture, permettant à un attaquant d'y mettre le contenu qu'il veut. Même l'animation de chargement peut être effacée, faisant croire à l'internaute qu'il est bien arrivé sur sa page, avec la bonne URL et le bon contenu, alors qu'il est en train de se faire attaquer.

Le bug a été signalé début juin et révélé hier. Le chercheur croyait qu'il serait corrigé par la version 3.6.4. En réalité il n'en est rien, et cette correction est pour l'instant prévue pour la 3.6.6.
Par Jeff Publiée le 23/06/2010 à 14:53
Publicité