Mozilla avertit ses utilisateurs d’une faille dont le correctif est disponible en urgence. La brèche a été repérée par un utilisateur et réside dans le module de lecture des documents PDF. Un site conçu spécialement peut déjà récolter des données et les transmettre à un autre serveur.
Les utilisateurs des versions 38 (ESR) et 39 de Firefox sont invités à appliquer la nouvelle mise à jour aussi rapidement que possible. Dans la plupart des cas, il suffira de redémarrer le navigateur puisque les correctifs se téléchargent automatiquement. Dans le doute, il est préférable d’aller vérifier dans la fonction intégrée de mise à jour.
Mozilla a été averti par un utilisateur ayant repéré une publicité russe qui cherchait manifestement à exploiter une faille résidant dans le PDF Viewer de Firefox. La brèche permet de récolter des données sensibles et l’utilisateur avait pu observer l’envoi des données sur un serveur manifestement situé en Ukraine. Puisque la faille réside dans un composant particulier, tous les produits de Mozilla qui en sont exempts ne sont pas concernés, notamment Firefox pour Android.
Mozilla note bien que la vulnérabilité ne permet en aucun cas de déclencher à distance l’exécution d’un code arbitraire sur la machine. Cependant, du code JavaScript peut être inséré dans un contexte local, permettant au pirate de récupérer certains fichiers. Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs. Des fichiers de configuration subversion, s3browser et Filezilla (ainsi que d’autres clients FTP), des informations sur des comptes Psi+ et .purple, ou encore les fichiers contenus dans les historiques de Bash ou MySQL. On notera que les utilisateurs de Mac ne sont pas concernés par cette attaque.
L’éditeur encourage les utilisateurs à changer des mots de passe si les logiciels visés sont utilisés. Point intéressant, Mozilla ajoute que les utilisateurs de solutions de blocage publicitaire ont potentiellement été protégés de cette faille puisque l’exploitation résidait justement dans une publicité. Il est délicat cependant de définir l’ampleur de l’exploitation car la brèche a très bien pu être utilisée dans d’autres pays.
Dans tous les cas, la solution est de redémarrer Firefox dès à présent.
Commentaires (46)
#1
Bravo à Mozilla pour sa rapidité !!
Bravo à l’utilisateur vigilant " />
#2
qui cherchait manifestement à exploiter une faille résidant dans le PDF Viewer de Firefox. La brèche permet de récolter des données sensibles et l’utilisateur avait pu observer l’envoi des données sur un serveur manifestement situé en Ukraine.
Manifestement c’est très manifesté " />
Petite répétition sur le mot :)
(version mobile pas de signalement)
#3
Foxit reader est top ; )
#4
SumatraPDF > Foxit Reader " />!!!
#5
Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs.
Je ne trouve pas ça si surprenant que ça, si ça permet au hacker d’accéder à un serveur distant en volant des mots de passe (les données de Filezilla ne sont pas chiffrées), c’est tout bénéf pour lui : ça alimente l’usine à phishing, spam et compagnie.
#6
Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs. Des fichiers de configuration subversion, s3browser et Filezilla (ainsi que d’autres clients FTP), des informations sur des comptes Psi+ et .purple
C’est Microsoft qui utilise la faille pour avoir une chance un jour d’alimenter son store en applis " />
#7
Non ce n’est pas Microsoft, sinon ils auraient laissé le ballot screen et le navigateur par défaut choisi par l’utilisateur dans Windows 10. " />
#8
#9
Donc Linux est aussi visé ? Les bloqueurs de pubs rendent-il l’attaque inopérante ?
#10
#11
#12
#13
Si tu as NoScript et qu’il n’y a pas trop de sites sur ta liste blanche, ça devrait bien te préserver.
#14
#15
#16
#17
#18
Edge ! " />
Bah oui, c’est le lecteur PDF par défaut sous Windows 10, avec la même technologie que Firefox d’ailleurs " />
#19
#20
#21
Si on regarde le nombre de résultats pour ces recherches…
https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Acrobat%22 Acrobat: 456
https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Foxit%22 Foxit: 91
https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Evince%22 Evince: 8
https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Sumatra%22 Sumatra: 6
https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22XChange%22 XChange: 0
#22
+1
#23
Quand on utilise SumatraPDF ou autre alternative, généralement on prend soin de désactiver le viewer PDF de Firefox.
La dernière fois que je m’en suis servi (par erreur suite à un profil neuf), j’avais croisé des fichiers qui ont été mal rendu alors qu’ils fonctionnaient bien par le logiciel externe. J’ai donc l’habitude de le désactiver en permanence.
Du coup la faille n’aurait pas pû toucher ces personnes.
#24
J’ai désactivé le lecteur pdf intégré à Firefox pour le moment.
J’attends d’éventuels retour. :3
#25
T’as un exemple de fichier mal rendu avec le lecteur PDF natif de Firefox ? Si c’est le cas, on peut ouvrir un bug sur Bugzilla, ça peut parfois être résolu facilement.
#26
A l’époque, il s’agissait de documents contenant beaucoup de données personnelles donc hors de question de faire des rapports de bugs (documents de l’administration, etc.).
Remarque c’est peut-être corrigé depuis et sans qu’ils le veuillent, mais je n’irai pas tester. Je préfère utiliser des logiciels spécialisés de toute façon.
#27
#28
#29
Sumatra est très bien, mais il nécessite pour l’instant des fenêtres. Pour les utilisateurs courant à l’air libre, il n’est pas pas encore dispo. (Quoi que les sources soit également libre)
" />
#30
Sans doute des PDF avec des formulaires à remplir, effectivement le PDF Viewer de FF ne supporte pas encore AcroForms/XFA.
#31
Certains formulaires officiels nécessitent Acrobat Reader DC, c’est le “seul” lecteur PDF à tout lire correctement et de manière performante (d’après mon expérience sur Windows).
En ce qui concerne le lecteur PDF de Firefox, je le trouve horriblement lent et peu compatible avec certains documents (lire un plan du réseau TCL par exemple, très vectoriel, impossible avec si je n’ai pas 1 heure devant moi…), ça reste du dépannage.
#32
#33
#34
Conclusion: Viens donc me chercher exploit…" />
#35
#36
#37
#38
#39
Je vais troller,
STDU Viewer > all
;-)
#40
#41
#42
#43
Il manque une information capitale dans l’article : la configuration et les clés SSH sont aussi visées. C’est le moment de songer au renouvellement…
#44