Accueil | Actualité | Documentation | Outils gratuits | Services gratuits | Téléchargement | Alertes | Hoax | Recherche | Contact
 

Logo Secuser.com

GENERAL
  Actualité du jour
  Lettres d'information
  Guides gratuits
  Livres
  Glossaire
VIRUS

  Alertes virus
  Dossiers virus
  Alertes par email
  Antivirus gratuits
  Antivirus en ligne
  Désinfection
  FAQ virus
PROTECTION
  Alertes sécurité
  Dossier firewall
  Alertes par email
  Firewalls gratuits
  Scanner de ports
  Antirootkits gratuits
  Traceur IP/domaine
  WindowsUpdate
  FAQ sécurité
PHISHING
  Alertes phishing
  Logiciels anti-phishing
  FAQ phishing
SPAM
  Dossier spamming
  Logiciels anti-spam
  FAQ spam
VIE PRIVEE
  Paiements en ligne
  Dossier spywares
  Antispywares gratuits
  Vos traces sur le Net
  FAQ vie privée
HOAX
  Alertes hoax
  Dossier hoax
  Dossier viroax
  Antihoax en ligne
  FAQ hoax
SECUSER
  Recommander ce site
  Fils d'information
  Bannières et boutons
  Etat des services
  Charte vie privée
  Nous écrire
 
RECHERCHE
Recherchez un mot-clé dans Secuser.com

NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com

IDDN certification
 
COMMUNIQUE SECURITE

Derniers communiqués | Page précédente

Vulnérabilités dans Firefox et Mozilla (07/05/05)

MISE A JOUR 12/05/05 : ces failles sont désormais corrigées

RESUME :
Deux vulnérabilités ont été découvertes dans les navigateurs Firefox et Mozilla. La première faille, de type CSS (Cross Site Scripting), autorise notamment le vol de cookies et le détournement de sessions de navigation. La seconde faille affecte uniquement Firefox et autorise l'exécution de code javascript arbitraire par les sites web autorisés à installer des logiciels (voir plus bas). La combinaison des deux failles sous Firefox permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via d'une page web exploitant un javascript malicieux.

LOGICIELS CONCERNES :
Firefox 1.0.3 et versions inférieures
Mozilla 1.7.7 et versions inférieures (faille CSS uniquement)

CORRECTIF :
Pour le moment il n'existe pas de correctif et le risque d'exploitation malveillante est maximal car le détail du code permettant d'exploiter ces failles a été rendu public, en contravention avec la politique de sécurité de la fondation Mozilla. Selon ses dires, le découvreur des failles aurait été victime d'un abus de confiance par une personne ayant voulu s'attribuer les mérites de sa découverte en rendant public l'exploit prématurément. Le 08/05/05 la fondation Mozilla a pris les mesures nécessaires pour que Firefox ne soit plus exposé à l'exécution de code arbitraire dans sa configuration par défaut en sécurisant les sous-domaines update.mozilla.org et addons.mozilla.org utilisés dans l'exploit rendu publique. Seuls les utilisateurs ayant ajoutés des sites à leur liste blanche de sites autorisés à installer des logiciels restent exposés et ont intérêt à désactiver l'option "Permettre aux sites Web d'installer des logiciels" dans les options de configuration du navigateur (Outils > Options... > Fonctionnalités Web > décocher Permettre aux sites Web d'installer des logiciels) ou à enlever les sites concernés. Afin d'empêcher l'exploitation de la faille CSS, en attendant une nouvelle version des navigateurs qui corrigera définitivement les failles, les utilisateurs de Firefox et de Mozilla peuvent également désactiver javascript dans les options de configuration de leur navigateur, mais la navigation s'en trouvera plus ou moins affectée en fonction des sites visités.

INFORMATIONS COMPLEMENTAIRES :
-> Bugzilla Bug n°292691 (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?

 
PUBLICITE
PUBLICITE

Copyright © 1998-2008 Emmanuel JUD | Secuser est une marque déposée | Hébergement par Model-FX