Vulnérabilité
critique dans Firefox, Mozilla Suite et Netscape (09/09/05)
MAJ
22/09/05 : un correctif officiel est désormais
disponible
RESUME
:
Une vulnérabilité a été découverte dans les navigateurs
Firefox, Mozilla et Netscape. Un
défaut dans la gestion des caractères spéciaux
permet à un individu malveillant de provoquer
le plantage du navigateur de sa victime et pourrait permettre
l'exécution de code malicieux via
une page web piégée.
LOGICIEL(S)
CONCERNE(S) :
Mozilla Firefox 1.0.6 et versions inférieures
Mozilla
Firefox 1.5 Beta 1
Mozilla Suite 1.7.11 et versions inférieures
Netscape 8.0.3.3 et versions inférieures
CORRECTIF
:
Le découvreur de la faille ayant fait le choix de ne
pas coopérer avec l'éditeur avant de publier
sa découverte, pour le moment il n'existe pas de correctif
officiel et le risque d'exploitation malveillante à
grande échelle est important car des détails
techniques concernant la faille ont été rendus
public. Outre la vigilance vis-à-vis des liens et fichiers
HTML non sûrs, les
utilisateurs concernés peuvent également désactiver
à titre préventif la prise en charge des caractères
spéciaux de type IDN par leur navigateur :
- saisir
"about:config" (sans les guillemets) dans la barre
d'adresse du navigateur ;
- presser
le bouton "Ok" du navigateur ou la touche "Entrée"
au clavier ;
- saisir
"idn" (sans les guillemets) dans le champ de recherche
"Filtre" de la page qui s'affiche ;
- double-cliquer
sur "network.enableIDN" de manière à
ce que sa valeur (colonne la plus à droite) devienne
"false" (si la valeur est déjà "false"
aucune modification n'est nécessaire).
Les utilisateurs de Firefox et Mozilla Suite peuvent cliquer
ici
pour installer un correctif temporaire effectuant la même
opération. Les noms de domaine accentués (IDN)
étant rarement utilisés, cette désactivation
n'entraîne généralement pas de gêne
significative pour l'utilisateur.
INFORMATIONS
COMPLEMENTAIRES :
-> Mozilla
Foundation Security Advisory (en anglais)
-> FAQ
: comment déterminer le numéro de version de
votre logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être
informé par courriel des nouvelles failles
|