Firefox 2 touché par une vulnérabilité critique

Le par  |  13 commentaire(s)
firefox logo

Plusieurs sociétés spécialisées dans la sécurité informatique ont émis un bulletin d'alerte informant l'utilisateur d'une vulnérabilité critique présente dans le navigateur de la Foundation Mozilla. Si Firefox fait bel et bien office de vecteur d'attaque, Internet Explorer est mis à contribution.

Firefox logoQualifiée de hautement critique par la société danoise Secunia, ladite faille concerne Firefox 2.0.0.4 et ses versions inférieures dans un environnement Windows. A priori, son exploitation nécessiterait la présence et le recours à Internet Explorer.


Uniform Resource Identifier
Le centre français de recherche et de veille en sécurité informatique, le FrSIRT, s'en fait notamment l'écho et évoque une vulnérabilité résultant d'une erreur au niveau de la gestion des adresses URI du type FirefoxURL (firefoxurl://), créée dans le registre Windows lors de l'installation de l'application. Cette erreur pourrait être exploitée par un attaquant distant afin de compromettre le système pris pour cible via l'envoi de code arbitraire notamment lors de la visite d'une page Web piégée avec le navigateur Internet Explorer de Microsoft.

Pour l'heure, la vulnérabilité a été confirmée sous Windows XP SP2 mais les avis des experts divergent quant à l'implication d' Internet Explorer, un chercheur indépendant ayant par exemple décrété que le navigateur de Microsoft en était l'unique cause, une conclusion que ne partagent pas tous ses collègues.

Quoi qu'il en soit, la Foundation Mozilla a d'ores et déjà déclaré travailler à l'élaboration d'un correctif. Par ailleurs, autre mauvaise nouvelle pour les adeptes du fureteur au panda rouge qui attendent avec impatience la sortie de la première version bêta de Firefox 3, initialement prévue pour le 31 juillet, elle est reportée de 6 semaines sans que l'on ne sache si ce retard aura un impact sur la date de sortie de la version finale mais après tout, mieux vaut patienter jusqu'à 2008 avec l'assurance d'avoir un produit robuste et abouti en retour.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #177272
"crée dans le registre" ->"créée dans le registre"
"en été l'unique cause" ->"en était l'unique cause"

Le #177273
On fait quoi en attendant? On utilise le navigateur qui coule, Safari sous Windows?
Le #177274
Ou opéra.

Ou sinon tu te rends comptes que le risque est tout relatif et tu ne te prends pas la tete.
Le #177276
Si tu utilises que firefox, aucun risque. Il faut naviguer avec un navigateur autre que firefox, et que toutes les fenetres FF soient fermees.
La solution temporaire est de supprimer l'associations firefox:// du registre de windows, sinon
Le #177277

On fait quoi en attendant ?


Déjà on évite d'utiliser Windows.
Sinon, on évite d'utiliser occasionnellement IE.
Dans tous les cas, tu es tranquille.
Et de toute façon, +1 pour mops, y'a pas de quoi se jeter par la fenêtre...
Le #177278
Et de toute façon, +1 pour mops, y'a pas de quoi se jeter par la fenêtre...
--
Ils peuvent quand meme faire faire ce qu'ils veulent a ton firefox, quand meme, si tu te rends avec IE sur un site piege. Creation de nouveau profil, javascript, installation d'une extension...
Le #177279
Ouf j'ai eu peur un moment ... et en fait c'est pour la fenêtre ...

Et hop encore une belle démonstration de la puissance de la base de registre. Pour moi c'est pas vraiment une vulnérabilité de firefox, le titre de la news est trompeur.

"Firefox, touché par une vunérabilité critique de windows ..."
Le #177280
pas compris le problème. C'est une faille de FF mais elle apparait si on utilise IE ? En même temps ??
Le #177282
9col: c'est un faille particuliere, en fait, c'est IE qui accepte qu'on passe des parametres au lancement d'un logiciel externe.
Foncierement, c'est pas une faille, c'est plutot une erreur de conception de IE.
Quand on a une url du type irc://irc.unserveur.com sous firefox, il pose la question et previent qu'on va lancer une autre application, ce qui pourrait etre dangereux.
Apparemment, pas IE.
Le #177283
Bon, mais alors, si FF n'est pas installé, pas de problème ?
Chouette alors..! <img src="/img/emo/cool.gif" alt="8:" />
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]