Failles de sécurité sous Mozilla/Firefox

Avec une popularité grandissante viennent, hélas, de nouvelles failles de sécurité.

C'est la Fondation Mozilla elle-même qui vient de l'annoncer: neuf nouvelles failles de sécurité affectant toute sa famille de produits viennent d'être identifiées.

Selon Ian Latter, analyste chez Pure Hacking et inventeur d'un original programme sous Linux dont nous vous parlions voici quelques jours, "quelques points obscurs concernant l'utilisation de JavaScript sous extension de privilège ont été décelés; ils permettraient de supprimer la fonction 'sandbox' (bac à sable) de JavaScript, et autoriseraient un code malicieux à se propager sur un PC".

Autre faille mentionnée: un code malicieux pourrait aussi se frayer un accés à une ou plusieurs plage de mémoire sans autorisation préalable. Toujours selon Latter, "cette plage de mémoire pourrait ou ne pourrait pas contenir de données sensibles, mais il faut envisager la pire hypothèse, à savoir qu'on puisse y trouver vos mots de passe, par exemple".

Le lundi 11 avril, Secunia publiait un bulletin d'alerte pour une série de failles de sécurité 'hautement critiques' affectant toutes les versions de Firefox, y compris la dernière 1.03.

Selon la French Security Incident Response Team (équipe française de réponse aux incidents de sécurité; l'acronyme anglais donne FIRST, premier), un assaillant pourrait même provoquer l'éxécution d'un code malicieux via le logiciel de blocage de publicités intempestives de Mozilla: quand un pop-up est bloqué, le navigateur offre à l'utilisateur la possibilité d'ouvrir ce pop-up; si l'URL de ce pop-up est en JavaScript, le fait de sélectionner 'Ouvrir la console JavaScript' depuis la barre d'outils élèverait le niveau de privilège de ce script qui, s'il contient un code malicieux, pourrait implanter un intrus sur un PC.

Une autre faille encore concerne l'installation de plug-ins complémentaires de ceux qui figurent déjà dans le package d'installation de Firefox/SeaMonkey: si l'option 'installation automatique' est retenue, le fait, sur la page Web où sont recensés les plug-ins disponibles, de sélectionner, puis installer manuellement un de ces plug-ins peut conduire à l'éxécution d'un code malicieux. Cette dernière faille ne concerne pas Firefox 1.0.3, mais toutes les versions de SeaMonkey (suite Mozilla chez nous), y compris la dernière 1.7.7, seraient concernées.

La solution préconisée par Pure Hacking est double: désactiver JavaScript et/ou télécharger un correctif depuis le site de Mozilla.