Faille critique pour Firefox

Le par  |  6 commentaire(s) Source : FrSIRT
firefox logo

    Le site FrSIRT nous annonce que le navigateur web libre FireFox est sujet à une faille qualifiée de critique affectant toutes les versions, y compris la dernière 1.

Firefox logo    Le site FrSIRT nous annonce que le navigateur web libre FireFox est sujet à une faille qualifiée de critique affectant toutes les versions, y compris la dernière 1.03.

Pour le moment, aucun correctif de sécurité n'est disponible pour cette vulnérabilité.



Descriptif :

"Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur présente au niveau de la gestion des paramètres "src" (inclus avec un tag "IFRAME") et "iconURL" (utilisé par la fonction "InstallTrigger.install"), qui ne sont pas correctement filtrés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page web ou un email contenant un code javascript malicieux."


Afin de se prémunir contre cette faille, la seule solution consiste à désactiver JavaScript ou à désactiver l'option "Permettre aux sites web d'installer des logiciels" située dans Outils/Options/Fonctionnalités Web.

Il ne reste plus qu'à attendre un correctif, ce qui nous permettra de juger la rapidité d'action de la fondation Mozilla ;)
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #43224
Pour une fois, ce n'est pas IE qui est touché.

Peut-être qu'une version 1.04 de Firefox sortira pour corriger cette vulnérabilité, assez chiante à utiliser.

Mais cela serait étonnant de voir sortir une 1.04 alors que firefox 1.1 alpha (alias DeerPark Alpha) commence à pointer le bout de ses octets.
Le #43225
Pas de soucis à se faire, chaque fois qu'une faille est découverte, Mozilla Foundation réagit très vite.

Une faille pour FF, combien pour IE '

PS : allez j'arrête la gueguerre IE-FF
Le #43230
Et Opera ' Est-il touché '
Connait-on à ce jour des failles critiques pour OP '

@ bartelbi : "PS : allez j'arrête la gueguerre IE-FF" T'as oublier OP '
Le #43235
Bof, Il suffit de décocher la case " autoriser un site web a installer des logiciels", généralement des plugins dont les sites sont filtés si on paramètre bien Firefox.
C'est fait...Merci pour l'info, la "faille" est bouchée..
Le #43264
merci de l'info bien sur et surtout d'avoir donné la manip pr éviter que ca nous arrive en attendant le correctif (sauf que maintenant je px plus ajouter de smilet lol) (smilet avec les coeurs ds les yeux
Le #43289
pour le pb avec les xpi:
de Mozilla:
"Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public."
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]