Faille de sécurité pour les navigateurs Mozilla et Firefox


 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Voilà un peu de vacances pour Internet Explorer : la dernière faille sérieuse à frapper un navigateur concerne cette fois-ci les logiciels libres Mozilla et Firefox, ainsi que le client email Thunderbird. Elle ne touche cependant que les versions Windows de ce outils. Le correctif ad-hoc et de nouvelles versions sont disponibles.

Internet Explorer, le navigateur de Microsoft, n'était pas vraiment à la fête ces derniers temps. Voici donc qui devrait faire plaisir à ses utilisateurs : la dernière faille en date à frapper un navigateur ne concerne que les incontournables du Logiciel Libre que sont Mozilla (jusqu'à la version 1.7.0 inclue), Firefox (version 0.9.1 inclue) et le client email Thunderbird (version 0.7.1 inclue).

 


Mais cette vulnérabilité ne touche que les versions pour Windows de ces outils. Leurs utilisateurs sous Linux, MacOS X, FreeBSD, Solaris et les autres ne sont donc pas concernés.

Il s'agit toutefois d'une faille importante car elle permet à un site web (ou un email au format HTML) de faire exécuter un programme existant sur le PC de la victime lorsque cette dernière clique sur un lien particulier. Cette URL doit commencer par shell:
.

Ce type de lien indique au navigateur de ne pas s'occuper de la suite de l'adresse et de la transmettre au "shell" de Windows, c'est à dire son interpréteur de commandes. Cela permet à l'attaquant de lancer n'importe quel programme déjà présent sur le PC de sa victime (ce qui peut être exploité dans le cadre d'une attaque plus sérieuse si un code malicieux a été téléchargé à l'avance dans un endroit connu).

Plus simplement, cette faille peut-être exploitée pour faire planter le PC en ouvrant une infinité de fenêtres jusqu'à le mettre à genoux. Le correctif ne fait que désactiver cette fonction.
Pour la petite histoire, ce comportement était censé être corrigé par le Service Pack 1 de Windows XP... mais ce dernier ne s'est occupé en réalité que d'Internet Explorer !

Cette vulnérabilité était corrigée dans la journée qui a suivi sa découverte. Une vélocité qui devrait rassurer les adeptes de l'Open Source lorsque l'on sait qu'il a fallu plus d'une semaine à Microsoft pour corriger de la même manière (en désactivant une fonction) l'une des failles utilisées dans le cadre de l'attaque Scob, autrement plus dangereuse et -elle- réellement exploitée.

» Bulletin K-OTik : Mozilla Web Browser shell: protocol security issue (Windows XP)

Par Jérôme Saiz (Le 11 Juillet 2004)    
 

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits