Dernières actualités
- Microsoft : 11 mises à jour de sécurité ...
- Cyberlink verse un peu plus Linux avec PowerDVD ...
- Hausse des adwares liés à des faux antivirus
- Le noyau Linux en version 2.6.27
- Des Eee Box livrées avec un virus
- Facebook : le réseau social fait son trou en ...
- Fibre optique : Free est satisfait et veut ...
- Apple fait son Patch Tuesday avant Microsoft
- Virtual Earth : 460 millions de km carrés à ...
- Firefox 3.1 : bêta 1 la semaine prochaine, la 2 ...
- Les hackers utlisent Google Trends Labs pour vous ...
- Failbook.fr : Facebook n'a pas vraiment ...
- Copie de DVD : RealDVD suspendu jusqu'à nouvel ...
- Open Source : l'Europe et la France en chefs de ...
- Sortie de Mandriva Linux 2009
- Finances : IBM dit ne pas être affecté par la ...
- Europe : IE baisse, Safari stagne, Chrome ne ...
- Windows 7 : maintien de l'UAC mais amélioration
- GNU/Linux : Debian Lenny est en retard !
- Clickjacking : le petit monde de la sécurité en ...
Derniers dossiers
Produit du jour : Tout pour le Divx à partir de 3.00 € (Logiciel)
08/05/2005 17:40 par Bruno C. |
6 commentaire(s) 6 nouveau(x)
Faille critique pour le navigateur Firefox 1.03
Le site FrSIRT nous annonce que le navigateur web libre FireFox est sujet à une faille qualifiée de critique affectant toutes les versions, y compris la dernière 1.03.Pour le moment, aucun correctif de sécurité n'est disponible pour cette vulnérabilité.
Descriptif :
"Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur présente au niveau de la gestion des paramètres "src" (inclus avec un tag "IFRAME") et "iconURL" (utilisé par la fonction "InstallTrigger.install"), qui ne sont pas correctement filtrés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page web ou un email contenant un code javascript malicieux."
Afin de se prémunir contre cette faille, la seule solution consiste à désactiver JavaScript ou à désactiver l'option "Permettre aux sites web d'installer des logiciels" située dans Outils/Options/Fonctionnalités Web.
Il ne reste plus qu'à attendre un correctif, ce qui nous permettra de juger la rapidité d'action de la fondation Mozilla ;)
Source : FrSIRT
Voir les 6 commentaires - Poster un commentaire
Commentaires
truthonly
Pour une fois, ce n'est pas IE qui est touché.
Peut-être qu'une version 1.04 de Firefox sortira pour corriger cette vulnérabilité, assez chiante à utiliser.
Mais cela serait étonnant de voir sortir une 1.04 alors que firefox 1.1 alpha (alias DeerPark Alpha) commence à pointer le bout de ses octets.
Peut-être qu'une version 1.04 de Firefox sortira pour corriger cette vulnérabilité, assez chiante à utiliser.
Mais cela serait étonnant de voir sortir une 1.04 alors que firefox 1.1 alpha (alias DeerPark Alpha) commence à pointer le bout de ses octets.
bartelbi
Pas de soucis à se faire, chaque fois qu'une faille est découverte, Mozilla Foundation réagit très vite.
Une faille pour FF, combien pour IE '
PS : allez j'arrête la gueguerre IE-FF
Une faille pour FF, combien pour IE '
PS : allez j'arrête la gueguerre IE-FF
Angel_keeper
Et Opera ' Est-il touché '
Connait-on à ce jour des failles critiques pour OP '
@ bartelbi : "PS : allez j'arrête la gueguerre IE-FF" T'as oublier OP '
Connait-on à ce jour des failles critiques pour OP '
@ bartelbi : "PS : allez j'arrête la gueguerre IE-FF" T'as oublier OP '
Calypso
Bof, Il suffit de décocher la case " autoriser un site web a installer des logiciels", généralement des plugins dont les sites sont filtés si on paramètre bien Firefox.
C'est fait...Merci pour l'info, la "faille" est bouchée..
C'est fait...Merci pour l'info, la "faille" est bouchée..
Mrs Dallara
merci de l'info bien sur 
et surtout d'avoir donné la manip pr éviter que ca nous arrive en attendant le correctif (sauf que maintenant je px plus ajouter de smilet lol) (smilet avec les coeurs ds les yeux 
et surtout d'avoir donné la manip pr éviter que ca nous arrive en attendant le correctif (sauf que maintenant je px plus ajouter de smilet lol) (smilet avec les coeurs ds les yeux glattering
pour le pb avec les xpi:
de Mozilla:
"Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public."
de Mozilla:
"Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public."
Poster un commentaire
Pour poster un commentaire, vous devez vous inscrire sur le site.
Vous aurez alors également accès à des fonctionnalités supplémentaires. S'inscrire...