Nous vous avions annoncé il y a quelques temps (voir news) que la grande majorité des navigateurs web étaient affectés par une faille de sécurité, y compris les logiciels libres FireFox et Mozilla.
Après les prémisses d'un patch correctif (voir news), il semble finalement que la fondation Mozilla ai renoncé, pour le moment, à proposer un correctif.
Pour rappel, cette faille pourrait être exploitée afin d'effectuer des attaques par les techniques de spoofing/phishing.
Le responsable serait une erreur implantée au niveau de l'IDN (International Domain Name) qui n'interprète pas correctement certaines URL contenant des caractères spéciaux.
Aujourd'hui, la fondation Mozilla nous propose une solution assez radicale...supprimer le support de l'IDN dans les futures versions de ses navigateurs !
Bon, il faut dire que l'IDN ne sert qu'à afficher des caractères internationaux, on peut donc s'en passer très facilement dans le cadre d'une utilisation normale.
Les prochaines versions Firefox 1.0.1, Mozilla 1.7.6 et Mozilla 1.8 bêta seront donc livrées sans le support de cette fonctionnalité.
A priori, ces nouvelles versions seront proposées d'ici une quinzaine de jours, et devraient intégrer tous les correctifs découverts depuis la dernière mise à jour.
Dixit la Fondation Mozilla, cette solution n'est que temporaire, mais elle souligne que ce problème ne vient pas de leurs navigateurs mais du fonctionnement de l'IDN lui même.
Mise à jour 19/02/2005 02h20
Après avoir annoncé effectivement la suppression de l'IDN dans ses prochaines versions, il semble maintenant que la fondation Mozilla ai changé d'avis, cette suppression étant sans doute un peu trop radicale. L'IDN sera donc présent et activé mais tous les noms de domaine internationaux seront affichés comme du "Punycode". Une nouvelle option permettra de désactiver complètement ou non l'IDN. Vous trouverez plus d'informations ici.
La recherche se poursuit toutefois afin de trouver une solution définitive à ce problème de sécurité.
