Vulnérabilités
dans Firefox et Mozilla (07/05/05)
MISE
A JOUR 12/05/05 : ces failles sont désormais
corrigées
RESUME :
Deux
vulnérabilités ont été découvertes dans les navigateurs Firefox
et Mozilla. La
première faille, de type CSS (Cross Site Scripting),
autorise notamment le vol de cookies et le détournement
de sessions de navigation. La seconde faille affecte uniquement
Firefox et autorise l'exécution de code javascript
arbitraire par les sites web autorisés à installer
des logiciels (voir plus bas). La combinaison des deux failles
sous Firefox permet à un individu malveillant de prendre le
contrôle à distance de l'ordinateur de sa victime ou
à un virus de s'exécuter
via d'une page web exploitant un javascript malicieux.
LOGICIELS CONCERNES :
Firefox 1.0.3 et versions inférieures
Mozilla 1.7.7 et versions inférieures (faille CSS uniquement)
CORRECTIF :
Pour le
moment il n'existe pas de correctif et le risque d'exploitation
malveillante est maximal car le détail du code permettant
d'exploiter ces failles a été rendu public,
en contravention avec la politique de sécurité
de la fondation Mozilla. Selon ses dires, le découvreur
des failles aurait été victime d'un abus de
confiance par une personne ayant voulu s'attribuer les mérites
de sa découverte en rendant public l'exploit prématurément.
Le 08/05/05
la fondation Mozilla a pris les mesures nécessaires
pour que Firefox ne soit plus exposé à l'exécution
de code arbitraire dans sa configuration par défaut
en sécurisant les sous-domaines update.mozilla.org
et addons.mozilla.org utilisés dans l'exploit rendu
publique.
Seuls les utilisateurs ayant ajoutés des sites à
leur liste blanche de sites autorisés à installer
des logiciels restent exposés et ont intérêt
à désactiver l'option "Permettre aux sites
Web d'installer des logiciels" dans les options de configuration
du navigateur (Outils > Options... > Fonctionnalités
Web > décocher Permettre aux sites Web d'installer
des logiciels) ou à enlever les sites concernés.
Afin d'empêcher l'exploitation de la faille CSS, en
attendant une nouvelle version des navigateurs qui corrigera
définitivement les failles, les utilisateurs de Firefox
et de Mozilla peuvent également désactiver javascript
dans les options de configuration de leur navigateur, mais
la navigation s'en trouvera plus ou moins affectée
en fonction des sites visités.
INFORMATIONS COMPLEMENTAIRES :
-> Bugzilla
Bug n°292691 (en anglais)
-> FAQ
: comment déterminer le numéro de version de
votre logiciel?
|