Failles de sécurité sous Mozilla/Firefox

Le par  |  13 commentaire(s) Source : CNET News

Avec une popularité grandissante viennent, hélas, de nouvelles failles de sécurité.

Avec une popularité grandissante viennent, hélas, de nouvelles failles de sécurité.

C'est la Fondation Mozilla elle-même qui vient de l'annoncer: neuf nouvelles failles de sécurité affectant toute sa famille de produits viennent d'être identifiées.

Selon Ian Latter, analyste chez Pure Hacking et inventeur d'un original programme sous Linux dont nous vous parlions voici quelques jours, "quelques points obscurs concernant l'utilisation de JavaScript sous extension de privilège ont été décelés; ils permettraient de supprimer la fonction 'sandbox' (bac à sable) de JavaScript, et autoriseraient un code malicieux à se propager sur un PC".

Autre faille mentionnée: un code malicieux pourrait aussi se frayer un accés à une ou plusieurs plage de mémoire sans autorisation préalable. Toujours selon Latter, "cette plage de mémoire pourrait ou ne pourrait pas contenir de données sensibles, mais il faut envisager la pire hypothèse, à savoir qu'on puisse y trouver vos mots de passe, par exemple".

Le lundi 11 avril, Secunia publiait un bulletin d'alerte pour une série de failles de sécurité 'hautement critiques' affectant toutes les versions de Firefox, y compris la dernière 1.03.

Selon la French Security Incident Response Team (équipe française de réponse aux incidents de sécurité; l'acronyme anglais donne FIRST, premier), un assaillant pourrait même provoquer l'éxécution d'un code malicieux via le logiciel de blocage de publicités intempestives de Mozilla: quand un pop-up est bloqué, le navigateur offre à l'utilisateur la possibilité d'ouvrir ce pop-up; si l'URL de ce pop-up est en JavaScript, le fait de sélectionner 'Ouvrir la console JavaScript' depuis la barre d'outils élèverait le niveau de privilège de ce script qui, s'il contient un code malicieux, pourrait implanter un intrus sur un PC.

Une autre faille encore concerne l'installation de plug-ins complémentaires de ceux qui figurent déjà dans le package d'installation de Firefox/SeaMonkey: si l'option 'installation automatique' est retenue, le fait, sur la page Web où sont recensés les plug-ins disponibles, de sélectionner, puis installer manuellement un de ces plug-ins peut conduire à l'éxécution d'un code malicieux. Cette dernière faille ne concerne pas Firefox 1.0.3, mais toutes les versions de SeaMonkey (suite Mozilla chez nous), y compris la dernière 1.7.7, seraient concernées.

La solution préconisée par Pure Hacking est double: désactiver JavaScript et/ou télécharger un correctif depuis le site de Mozilla.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #40924
ca concerne donc Firefox 1.0.3 '
Le #40927
"Cette dernière faille ne concerne pas Firefox 1.0.3, mais toutes les versions de SeaMonkey (suite Mozilla chez nous), y compris la dernière 1.7.7, seraient concernées."

Oui mais pas pour toutes les failles
Le #40929
aie si d'autres failles de securité sont decouvertes je change de cremerie
Le #40931
et tu vas aller chez quel cremier '
Le #40932
snif snif.
je suis déçu, vu le titre de la news, j'aurais pensé que ....
RENDEZ NOUS NOTRE AKERONE, ON S'EMM..... FERME DEPUIS QU'IL EST AU PLACARD, OU EN VACANCES, OU EN LUNE DE MIEL, ou que sais je !!!!!
Signez la pétition sur :

www.we_want_him_back.gennt.com

ou envoyez vos dons au commité de soutien des akerone, qui lutte pour la reinsertion des akerones en milieu trollesque. d'avance merci.
le compte paypal est en cours de création.
Le #40933
sinon lacronyme pour moi donne fsirt et non pas first
Le #40936
Et à part se plaindre, ils savent faire quoi...'

Akerone est toujours là, au fait...

Et pour l'acronyme, NORAD signifie North American Aerospace Defense Command, alors...

Bien le bonsoir, les loupiots!
Le #40943
Et à part se plaindre, ils savent faire quoi...'

ben écrire des commentaires à la mord-moi-le-n.... .
Le #40957
On dirait qu'ils ont des problemes avec ce Javascript cette fondation mais n'empeche, je garde et garderai toujours Firefox parce que je sais qu'ils vont sortir une nouvelle version dans pas long.
Le #41032
Oula soit je me gourre complètement
soit cette news est totalement fausse!!!

La version 1.0.3 corrige ces failles!!
Ya un gros problème de traduction là!

Les failles sont révélées quasiment toujours après la sortie de firefox, c'est la politique de Mozilla!

La version 1.0.3 je le répète, corrige ces problèmes
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]