Vulnérabilité Firefox : de possibles fuites d'informations

Le par  |  4 commentaire(s) Source : Par la rédaction de Vulnerabilite.com
firefox logo

Une vulnérabilité de type directory transversal dans Firefox peut permettre à des pages Web spécialement conçues de lire des informations confidentielles sur la machine d'un utilisateur.

firefox logoUne démonstration de la vulnérabilité sur le blog hiredhacker.com a fini par alerter Mozilla et sa responsable de la sécurité, Window Snyder, qui même si elle a qualifié le risque lié de faible, a toutefois publié un billet au sujet de cette vulnérabilité tout en annonçant que des investigations sont en cours.

La démonstration, quant à elle, montre comment via l'ouverture avec Firefox d'une page Web piégée, il est possible de lire le fichier de configuration globale sous Windows du client mail Thunderbird (un autre programme aurait pu être choisi). Néanmoins, l'exploit nécessite que soit installée une extension (ou module complémentaire) qui n'est pas présente sous la forme d'une archive JAR (fichier à l'extension .jar), ce qui est le cas pour nombre d'entre elles.


Des pages web piégées
Une page Web pourrait ainsi accéder à une URL chrome://, chrome étant le moteur de Firefox dédié à l'interface utilisateur, pour par exemple exécuter une commande afin de charger des images, scripts ou feuilles de style. Si cette URL est encodée avec des caractères du type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les convertir en ../ et à les éliminer, avec pour conséquence qu'ils peuvent être utilisés pour lire des fichiers arbitraires situés dans un répertoire tiers (vis-à-vis de celui qui héberge l'extension).

Avec cette méthode, des attaquants peuvent également vérifier si des programmes spécifiques ou des extensions sont installés et le cas échéant, détecter la présence de vulnérabilités additionnelles.

Parmi les extensions qui permettent l'exploitation de cette vulnérabilité, Mozilla mentionne Download Statusbar et sans doute plus connue, Greasemonkey. Suite à sa divulgation, un patch pour Download Statusbar a d'ailleurs été mis en ligne afin d'installer l'extension sous la forme d'une archive JAR.

Le problème de sécurité a été identifié dans le moteur de rendu version 1.8.1.11, utilisé par la dernière version en date de Firefox. Prudence donc.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #195848
on fait quoi en attendent une correction , on surf avec IE........
Anonyme
Le #195849
hé ben c'est tout ou rien avec les sources! un peu décu...
la source est là, simplement l'article est un simple copié collé...

juste un "prudence donc" de la rédac...
Anonyme
Le #195850
@santec

soit tu vérifies tes extensions (qu'elles soient en jar) et tu désactives celles qui ne respectent pas la règle (bcp ont été mises a jour, le cas d'adblock ou noscript je crois)
sinon en attendant tu desactives toutes tes extensions... ça evitera de te compliquer la vie sachant que le risque est faible
Le #195854
Sinon tu peux continuer de surfer avec Firefox ... sous Linux )
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]