Une faille dans Firefox, un trou qui prend l’air

Une vulnérabilité critique a été décelée au sein de Mozilla Firefox. Exploitée par des mains habiles, elle permet à une personne distante de faire exécuter des commandes arbitraires sur la machine vulnérable. Et, grosso modo, de faire télécharger et auto exécuter un fichier malicieux.

" Le problème résulte d'une erreur de permissions présente au niveau de la procédure d'installation des thèmes et extensions firefox » explique le site FrSIRT. Cette procédure ne filtre pas correctement certains paramètres spécialement conçus, à l’aide de code Javascript.

" Cette faille est suffisante pour compromettre le système" nous a confié Paul de GreyHats Security, le découvreur de ce bug. "Ce système d'installation ne fonctionne par défaut que depuis le site update.mozilla.org ou addon.mozilla.org". Toutefois, la faille en elle-même n'est pas suffisante pour percer la sécurité de l'ordinateur hôte. "C'est par le biais d'une autre vulnérabilité, un CSS [NDRL : cross site scripting] que l'on peut faire appeler la fonction d'installation depuis mozilla.org ".

Il n’y eu aucun correctif publié à ce jour. les spécialistes préconisent en attendant de désactiver JavaScript ou l'option "Permettre aux sites web d'installer des logiciels" (menu Outils , Options puis Fonctionnalités Web).

Les circonstances de publication de cette faille sont troubles. La faille aurait donc été découverte par Paul de GreyhatSecurity et l'un de ses amis, Michael Krax (du site Mickx.de), deux chercheurs qui se penchent ponctuellement sur la sécurité du célèbre navigateur. Comme l'expose Paul, la faille devait rester à l’abri mais, ironie du sort, leurs travaux ont été publiés sans leur accord. "j'essaye actuellement de rassembler toutes les informations sur la façon dont ma recherche a été exposée au public. Des conversations récentes me mènent à croire qu'il s'agit plutôt d'un défaut de confiance vis à vis d'un proche plutôt que piratage d'un de mes serveurs" nous confie ce spécialiste en sécurité. "Je ne veux pas plonger sur des conclusions trop rapides car ceci me mènera seulement à plus de problèmes. C'est tout que je dirai sur ce sujet car je ne veux offenser personne".

Face à ce full disclosure d'un genre particulier, Paul exprime ses sincères regrets à la Fondation Mozilla ainsi qu’à tous ceux « qui ont été touchés par cette action inconsidérée et irresponsable d’un individu ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !