Une nouvelle faille hautement critique pour Firefox 2.0

Papier de verre, colle, rustine, pompe : c'est parti 76
firefox failleRestons dans le domaine de la sécurité ce matin avec la publication par Secunia d’un bulletin concernant le navigateur Firefox de Mozilla. Ce dernier est victime d’une faille jugée « hautement critique ».

Cette faille touche l’URI « firefoxurl:// » et la manière dont on peut l’utiliser. Un URI, pour Uniform Resource Identifier, est donc un identifiant de ressource en même temps qu’il offre des moyens d’agir sur elle. Par exemple, une URL (Uniform Resource Locator) est un type d’URI, qui identifie une ressource web et fournit les moyens d’interactions sur l’adresse elle-même.

Dans le cadre de Firefox, l’installation du navigateur enregistre dans la base de registre de Windows l’URI « firefoxurl:// » qui sert en fait à appeler une instance du navigateur depuis une autre application. Puisque l’URI peut servir à préciser certains paramètres, comme par exemple « -chrome », on obtient une solution relativement complète pour appeler Firefox en dehors de son utilisation de base.

On parle alors d’une « invocation » du navigateur, accompagnée d’une série de paramètres. Et ce sont ces paramètres qui coincent, notamment ceux qui font appel au paramètre « -chrome ». Il est en effet possible d’introduire dans l’URI un code JavaScript qui s’exécutera alors de manière totalement arbitraire dans le navigateur. Dès lors, une page web malveillante, spécialement conçue pour l’occasion, pourrait exploiter la faille depuis un autre navigateur, comme Internet Explorer.

Il faut certes que Firefox soit bel et bien présent sur le système, mais le navigateur est présent sur un nombre de machines en augmentation. La faille est effective sur la version 2.0.0.4 du navigateur, et fonctionne sur un système Windows XP Service Pack 2. Selon Secunia, d’autres versions du navigateur et d’autres systèmes pourraient être touchées.

En attendant une solution par Mozilla, la société de sécurité recommande de faire attention aux sites visités. On notera que, selon nos confrères de PC Advisor, Microsoft a indiqué ne pas être en tort, tandis que les développeurs de Mozilla ont réagi en précisant que le comportement de la gestion des URI serait modifié dans la prochaine mise à jour du navigateur.