Firefox, la vulnérabilité jar fait des misères à Gmail

Le par  |  1 commentaire(s)
Firefox_new_logo

La vielle vulnérabilité présente dans l'implémentation du protocole jar sous Firefox se rappelle au bon souvenir de Mozilla en prenant pour cible Gmail de Google. Actuellement en phase de test, Firefox 2.0.0.10 comblera cette faille.

Firefox new logoGNUCITIZEN aime décidément jouer les rôles de poil à gratter et réveiller les consciences. Après avoir sorti la firme à la pomme de sa torpeur pour qu'elle corrige une faille identifiée dans QuickTime un an auparavant, ce site où sévit un découvreur de vulnérabilités émérite secoue les puces du panda rouge pour que Mozilla procède à une mise à jour. En l'occurrence, la faille de sécurité à prendre en charge est connue de Mozilla depuis 9 mois (février 2007) et relative au protocole jar.

La semaine dernière nous nous faisions l'écho dans l'une de nos actualités de cette vulnérabilité. Entre-temps, la menace a pris de l'ampleur avec la publication d'une preuve de concept impliquant le service de messagerie Gmail de Google.


Bientôt un Firefox 2.0.0.10
Comme déjà évoqué, sous Firefox, le problème résulte d'une erreur de validation du type de contenus définis par le standard MIME dans le cadre du recours au protocole jar, utilisé pour l'extraction du contenu d'un fichier compressé. Un scénario d'exploitation typique envisage qu'un attaquant télécharge vers un site de confiance un fichier zip spécialement conçu, et qu'un utilisateur charge via Firefox un URI jar: malicieux pointant vers ce fichier. Etant donné que le contenu est chargé par l'utilisateur depuis un site de confiance, du code arbitraire peut s'exécuter dans un environnement à priori sûr. Les fondements d'une attaque par XSS (cross site scritping) sont posés et le pirate peut accéder à des données stockées sur ledit site de confiance.

Avec la preuve de concept qui vient d'être publiée, ce site de confiance prend les traits de Gmail et les données stockées sont relatives au contacts de l'utilisateur devenu victime. Cette POC ( Proof Of Concept ) présage toutefois d'exploitations à venir potentiellement plus dangereuses. Mozilla a désormais bien pris la mesure du problème en indiquant dans son blog de sécurité qu'avec le protocole jar, les futures versions de Firefox ne supporterons uniquement que les fichiers servis avec un type MIME correct (application/java-archive), et s'assurerons par ailleurs d'un contexte sécuritaire plus adéquat.

Une mise à jour estampillée 2.0.0.10 de Firefox est ainsi en cours d'évaluation et devrait être disponible d'ici peu.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #190907
J'espere qu'il ne s'aquiterons pas que du type mime, parce qu'un type mime sa se fausse sur le web.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]