Secuser.com - Vulnérabilité critique dans Firefox et Mozilla

Actualités

Documentation

Téléchargement

Vulnérabilités

GENERAL

Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire

VIRUS

Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus

PROTECTION

Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
WindowsUpdate
FAQ sécurité

PHISHING

Alertes phishing
Logiciels anti-phishing
FAQ phishing

SPAM

Dossier spamming
Logiciels anti-spam
FAQ spam

VIE PRIVEE

Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée

HOAX

Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax

RECHERCHE

Recherchez un mot-clé
dans Secuser.com

NEWSLETTER

Recevez chaque semaine
la lettre de Secuser.com

COMMUNIQUE SECURITE

Derniers communiqués | Page précédente

Vulnérabilités dans Firefox et Mozilla (07/05/05)

MISE A JOUR 12/05/05 : ces failles sont désormais corrigées

RESUME :
Deux vulnérabilités ont été découvertes dans les navigateurs Firefox et Mozilla. La première faille, de type CSS (Cross Site Scripting), autorise notamment le vol de cookies et le détournement de sessions de navigation. La seconde faille affecte uniquement Firefox et autorise l'exécution de code javascript arbitraire par les sites web autorisés à installer des logiciels (voir plus bas). La combinaison des deux failles sous Firefox permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via d'une page web exploitant un javascript malicieux.

LOGICIELS CONCERNES :
Firefox 1.0.3 et versions inférieures
Mozilla 1.7.7 et versions inférieures (faille CSS uniquement)

CORRECTIF :
Pour le moment il n'existe pas de correctif et le risque d'exploitation malveillante est maximal car le détail du code permettant d'exploiter ces failles a été rendu public, en contravention avec la politique de sécurité de la fondation Mozilla. Selon ses dires, le découvreur des failles aurait été victime d'un abus de confiance par une personne ayant voulu s'attribuer les mérites de sa découverte en rendant public l'exploit prématurément. Le 08/05/05 la fondation Mozilla a pris les mesures nécessaires pour que Firefox ne soit plus exposé à l'exécution de code arbitraire dans sa configuration par défaut en sécurisant les sous-domaines update.mozilla.org et addons.mozilla.org utilisés dans l'exploit rendu publique. Seuls les utilisateurs ayant ajoutés des sites à leur liste blanche de sites autorisés à installer des logiciels restent exposés et ont intérêt à désactiver l'option "Permettre aux sites Web d'installer des logiciels" dans les options de configuration du navigateur (Outils > Options... > Fonctionnalités Web > décocher Permettre aux sites Web d'installer des logiciels) ou à enlever les sites concernés. Afin d'empêcher l'exploitation de la faille CSS, en attendant une nouvelle version des navigateurs qui corrigera définitivement les failles, les utilisateurs de Firefox et de Mozilla peuvent également désactiver javascript dans les options de configuration de leur navigateur, mais la navigation s'en trouvera plus ou moins affectée en fonction des sites visités.

INFORMATIONS COMPLEMENTAIRES :
-> Bugzilla Bug n°292691 (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?

PUBLICITE

Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
www.hoaxkiller.fr

Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
www.inoculer.com

Copyright © 1998-2010 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Hébergement Model-FX
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons - Charte vie privée - Recherche