L'équipe de sécurité de Mozilla émet une alerte au sujet d'une vulnérabilité critique affectant Firefox 3.5 et Firefox 3.6. Mozilla a été prévenu de cette faille par plusieurs sociétés de sécurité selon lesquelles elle est actuellement exploitée.

L'exemple le plus médiatique de cette exploitation a été celui du site officiel du Prix Nobel de la Paix ; un prix récemment attribué au dissident chinois Liu Xiaobo pour " ses efforts durables et non violents en faveur des droits de l'homme en Chine ". Le gouvernement chinois n'a pas manqué de s'offusquer de l'attribution de ce prix à Liu Xiaobo qui purge actuellement une peine d'emprisonnement de 11 ans pour subversion.

Cette attaque donne forcément lieu à plusieurs rumeurs qui vont jusqu'à une forme d'implication des autorités chinoises. Il sera bien difficile de connaître la vérité, d'autant que l'on peut aussi penser que des cybercriminels ont tout simplement flairé une bonne opportunité de faire quelques victimes en rebondissant sur l'actualité.

Le site www.nobelpeaceprize.org a été nettoyé de son cheval de Troie qui avait pour but d'infecter les ordinateurs des visiteurs afin de permettre une prise de contrôle à distance. La menace incarnée par le malware Windows en lui-même n'est toutefois pas considérée comme importante selon la société norvégienne Norman, qui a identifié cette menace sous le nom de Belmoo.

Reste que le code peut se retrouver sur d'autres sites Web, et que Firefox souffre d'une vulnérabilité qui pourra aussi être exploitée pour propager d'autres malwares. Mozilla indique travailler au développement d'un correctif qui sera proposé prochainement. En attendant, le conseil est de désactiver JavaScript dans Firefox, d'utiliser l'extension NoScript.