Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
COMMUNIQUE SECURITE

Derniers communiqués | Page précédente

Vulnérabilités dans Firefox et Mozilla (07/05/05)

MISE A JOUR 12/05/05 : ces failles sont désormais corrigées

RESUME :
Deux vulnérabilités ont été découvertes dans les navigateurs Firefox et Mozilla. La première faille, de type CSS (Cross Site Scripting), autorise notamment le vol de cookies et le détournement de sessions de navigation. La seconde faille affecte uniquement Firefox et autorise l'exécution de code javascript arbitraire par les sites web autorisés à installer des logiciels (voir plus bas). La combinaison des deux failles sous Firefox permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via d'une page web exploitant un javascript malicieux.

LOGICIELS CONCERNES :
Firefox 1.0.3 et versions inférieures
Mozilla 1.7.7 et versions inférieures (faille CSS uniquement)

CORRECTIF :
Pour le moment il n'existe pas de correctif et le risque d'exploitation malveillante est maximal car le détail du code permettant d'exploiter ces failles a été rendu public, en contravention avec la politique de sécurité de la fondation Mozilla. Selon ses dires, le découvreur des failles aurait été victime d'un abus de confiance par une personne ayant voulu s'attribuer les mérites de sa découverte en rendant public l'exploit prématurément. Le 08/05/05 la fondation Mozilla a pris les mesures nécessaires pour que Firefox ne soit plus exposé à l'exécution de code arbitraire dans sa configuration par défaut en sécurisant les sous-domaines update.mozilla.org et addons.mozilla.org utilisés dans l'exploit rendu publique. Seuls les utilisateurs ayant ajoutés des sites à leur liste blanche de sites autorisés à installer des logiciels restent exposés et ont intérêt à désactiver l'option "Permettre aux sites Web d'installer des logiciels" dans les options de configuration du navigateur (Outils > Options... > Fonctionnalités Web > décocher Permettre aux sites Web d'installer des logiciels) ou à enlever les sites concernés. Afin d'empêcher l'exploitation de la faille CSS, en attendant une nouvelle version des navigateurs qui corrigera définitivement les failles, les utilisateurs de Firefox et de Mozilla peuvent également désactiver javascript dans les options de configuration de leur navigateur, mais la navigation s'en trouvera plus ou moins affectée en fonction des sites visités.

INFORMATIONS COMPLEMENTAIRES :
-> Bugzilla Bug n°292691 (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons