Après enquête plus approfondie, la Fondation Mozilla a fini par mettre de l'eau dans son vin, reconnaissant sa propre responsabilité et ne rejetant plus la faute sur Microsoft.
Firefox 2.0.0.5 toujours vulnérable
Visiblement, Firefox n'en a pas fini avec ses problèmes de gestion de paramètres passés dans une adresse de type URI puisque un bulletin d'alerte publié par le FrSIRT nous apprend que : " Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable où a été installé Internet Explorer 7. Ce problème résulte d'une erreur présente au niveau du traitement des arguments envoyés via certains protocoles enregistrés ("mailto:", "nntp:", "news:", "snews:" ou "telnet:"), ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web malicieuse. "
Cette vulnérabilité identifiée dans Firefox 2.0.0.5 a également fait l'objet d'un bulletin d'alerte (hautement critique) émis par Secunia, à une distinction près qui ne manquera pas de raviver la polémique, puisque les experts de la société danoise ont attribué la vulnérabilité à Windows. Secunia confirme ainsi la présence de la faille dans Windows XP SP2 tout en faisant part du même mécanisme d'exploitation que le FrSIRT (présence d' Internet Explorer 7, visite avec Firefox d'une page Web piégée).
Bref, tout ceci n'est pas encore très clair (querelle d'experts) mais l'essentiel est que la Fondation Mozilla a d'ores et déjà annoncé travailler à l'élaboration d'un patch correctif pour Firefox 2.0.0.6.
