Nouvelle vulnérabilité pour le couple Windows / Firefox

Le par  |  16 commentaire(s)
firefox logo

La manipulation des identifiants de ressources URI pose décidément bien des problèmes à Firefox, de nouveau affecté par une vulnérabilité critique. Comme précédemment, un certain doute plane toutefois sur le réel responsable de cette faille.

Firefox logoIl y a un peu plus d'une semaine, sortait une nouvelle version de maintenance du navigateur Web Firefox estampillée 2.0.0.5 avec la correction de plusieurs bugs de sécurité dont un attribué dans un premier temps par la Fondation Mozilla, à Internet Explorer (exploit de sécurité firefoxurl://).

Après enquête plus approfondie, la Fondation Mozilla a fini par mettre de l'eau dans son vin, reconnaissant sa propre responsabilité et ne rejetant plus la faute sur Microsoft.


Firefox 2.0.0.5 toujours vulnérable
Visiblement, Firefox n'en a pas fini avec ses problèmes de gestion de paramètres passés dans une adresse de type URI puisque un bulletin d'alerte publié par le FrSIRT nous apprend que : " Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable où a été installé Internet Explorer 7. Ce problème résulte d'une erreur présente au niveau du traitement des arguments envoyés via certains protocoles enregistrés ("mailto:", "nntp:", "news:", "snews:" ou "telnet:"), ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web malicieuse. "

Cette vulnérabilité identifiée dans Firefox 2.0.0.5 a également fait l'objet d'un bulletin d'alerte (hautement critique) émis par Secunia, à une distinction près qui ne manquera pas de raviver la polémique, puisque les experts de la société danoise ont attribué la vulnérabilité à Windows. Secunia confirme ainsi la présence de la faille dans Windows XP SP2 tout en faisant part du même mécanisme d'exploitation que le FrSIRT (présence d' Internet Explorer 7, visite avec Firefox d'une page Web piégée).

Bref, tout ceci n'est pas encore très clair (querelle d'experts) mais l'essentiel est que la Fondation Mozilla a d'ores et déjà annoncé travailler à l'élaboration d'un patch correctif pour Firefox 2.0.0.6.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #178783
en ce moment firefox a plus de faille que IE7 ... (normal firefox commence à monté, avant il était trop minoritaire pour être visé)
Le #178789
Y a plus qu'à changer de navigateur, en prendre un moins utilisé donc moins attaqué
Le #178790
allthew3 : tu me citeras des sites piégés dédiés à Firefox.

D'ailleurs cette faille est en relation avec IE7; que ce soit sous Vista ou XP-Sp2...

Des failles sont découvertes, soit. Mais exploitées ?

jml : tu pourrais recommencer cela à l'infini, même le navigateur avec "1% de part de marché" Opera connait des failles, dont la dernière en date était liée à Bittorrent...
Anonyme
Le #178791
Je pense que d'ici 1 semaine on aura la version 2.0.0.6 sur nos pcs car la version est deja en rc2
Le #178792
Faut bien que les numéros de versions mineures servent à quelque chose
Le #178799
sous ie y a une faille corrigée par mois
sous ff c po la même cadence
Le #178800
Bien que pour la forme il soit responsable de corriger, cette faille ne fonctionne que sur les systèmes sur lequel IE7 est porté.

Cette faille une faute inhérente à un port sur un système précis. Est ce réellement une faille firefox ? Assurément oui. Est ce que la conception de Windows transforme cette erreur de conception en faille exploitable ? La réponse est simple, est ce que cette faille est reproductible avec FreeBSD / Linux ou encore MacOs ?
Le #178802
J'aime bien...
En fait c'est ça: Firefox a une faille, oui mais non, c'est Windows..
Bon alors, dans ce cas, autant rester sur IE7..au moins on reste en famille !
Non ? <img src="/img/emo/cool.gif" alt="8:" />
Le #178809
La rançon du succès
En tout cas les failles FF sont corrigées bien plus vite que celles de IE dont certaines existent toujours depuis des mois
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]