Vulnérabilité non corrigée dans Firefox (24/01/08)

MAJ 08/02/08 : un correctif officiel est désormais disponible

RESUME :
Un nouveau défaut de sécurité a été identifié dans le navigateur Firefox. L'exploitation d'une erreur dans la gestion des URI "chrome:" peut permettre à un individu malveillant d'accéder à des données sensibles sur l'ordinateur de sa victime via une page web piégée et une attaque de type directory traversal, lorsque certains modules ("add-ons") sont installés (ceux ne stockant pas leur contenu dans un fichier .jar, tels que Download Statusbar ou Greasemonkey).

LOGICIEL(S) CONCERNE(S) :
Firefox 2.x

RISQUE :
Moyen

CORRECTIF :
Aucun correctif n'est disponible pour le moment, ce défaut de sécurité ayant été rendu public par son découvreur sans attendre sa correction par l'éditeur. En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :

• se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens non sollicités (notamment débutant par "chrome:"), ainsi que des sites web non reconnus comme sûrs ;
• tenir à jour son antivirus. Les éditeurs publient généralement de nouvelles signatures pour tenter de reconnaître et d'intercepter les fichiers malicieux exploitant les défauts de sécurité non corrigés.

INFORMATIONS COMPLEMENTAIRES :
-> Mozilla Security Blog : chrome protocol directory traversal
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles