Vulnérabilité
critique non corrigée dans Firefox et Netscape Navigator (26/07/07)
MAJ 31/07/07 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans les navigateurs Firefox et Netscape. L'exploitation
d'un défaut de validation de certaines adresses URI (notamment
mailto://, nntp://, news://, telnet://) peut permettre à
un individu malveillant ou à un virus d'exécuter du
code malicieux à distance sur l'ordinateur de sa victime
via un lien piégé lorsque le navigateur Microsoft
Internet Explorer 7.0 est également installé sur l'ordinateur
concerné.
LOGICIEL(S)
CONCERNE(S) :
Mozilla
Firefox
(uniquement sous Windows)
Netscape Navigator (uniquement sous Windows)
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, ce défaut de sécurité
ayant été rendu public par son découvreur sans
attendre sa correction par l'éditeur.
Les détails techniques concernant la faille ayant été rendus publics,
le risque d'exploitation malveillante est important. En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
et autres non sollicités, ainsi que des sites web non reconnus
comme sûrs ;
- tenir à
jour son antivirus. Les éditeurs publient généralement
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant les défauts de sécurité
non corrigés.
Ce défaut
de sécurité s'explique par le fait que le navigateur
Internet Explorer 7.0 a modifié la façon dont Windows
gère les URI sans que les autres éditeurs ne prennent
les mesures nécessaires pour valider les données transmises
à leurs applications selon les nouvelles modalités.
Les utilisateurs concernés peuvent s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ :
comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|