Vulnérabilité
non corrigée dans Firefox (24/01/08)
MAJ 08/02/08 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le navigateur Firefox. L'exploitation d'une
erreur dans la gestion des URI "chrome:" peut permettre
à un individu malveillant d'accéder à des données
sensibles sur l'ordinateur de sa victime via une page web piégée
et une attaque de type directory traversal, lorsque certains modules
("add-ons") sont installés (ceux ne stockant pas
leur contenu dans un fichier .jar, tels que Download Statusbar ou
Greasemonkey).
LOGICIEL(S)
CONCERNE(S) :
Firefox 2.x
RISQUE :
Moyen
CORRECTIF
:
Aucun correctif n'est disponible pour le moment, ce défaut
de sécurité ayant été rendu public par
son découvreur sans attendre sa correction par l'éditeur.
En attendant la publication d'un correctif officiel, les utilisateurs
concernés peuvent appliquer les mesures suivantes afin de
réduire les risques d'exploitation malveillante :
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens non sollicités (notamment débutant par "chrome:"),
ainsi que des sites web non reconnus comme sûrs ;
- tenir à jour son antivirus. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les défauts de sécurité non corrigés.
INFORMATIONS
COMPLEMENTAIRES :
-> Mozilla
Security Blog : chrome protocol directory traversal
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|