Vulnérabilité
non corrigée dans Firefox (09/11/07)
MAJ 26/11/07 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été identifié dans le navigateur
Firefox. L'exploitation d'une erreur de validation dans l'implémentation
du protocole JAR (extraction du contenu de fichiers compressés)
autorise l'exécution de code malicieux par le biais d'une attaque
de type cross-site scripting via une page web ou un adresse URI
"jar:" piégé.
LOGICIEL(S)
CONCERNE(S) :
Firefox
2.x
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, ce défaut de sécurité
ayant été rendu public par son co-découvreur
sans attendre sa correction par l'éditeur.
En attendant la publication d'un correctif officiel, les utilisateurs
concernés peuvent appliquer les mesures suivantes afin de
réduire les risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens non
sollicités (notamment débutant par "jar:"),
ainsi que des sites web non reconnus comme sûrs ;
- tenir à
jour son antivirus. Les éditeurs publient généralement
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant les défauts de sécurité
non corrigés.
Les utilisateurs
concernés peuvent s'abonner gratuitement à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ :
comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|