Faille des curseurs animés : Firefox plus vulnérable que IE7

Le par  |  33 commentaire(s)
Windows XP patch pansement

Il y a quelques jours, le leader mondial du logiciel publiait un bulletin d'alerte faisant état d'une vulnérabilité critique non corrigée présente dans Windows 2000, XP, Server 2003 et également Vista.

Il y a quelques jours, le leader mondial du logiciel publiait un bulletin d'alerte faisant état d'une vulnérabilité critique non corrigée présente dans Windows 2000, XP, Server 2003 et également Vista. Cette vulnérabilité était même qualifiée de 0-day.


Erreur dans la gestion des fichiers Windows Animated Cursor
Microsoft annonçait dans son bulletin d'alerte 935423 qu'une personne mal intentionnée pouvait exécuter du code arbitraire à distance sur la machine d'un utilisateur prise pour cible via un fichier à l'extension .ani spécialement conçu (les fichiers .ani sont des curseurs animés pouvant être utilisés en tant que pointeurs de souris).

Aujourd'hui nous apprenons que le navigateur web Firefox est lui aussi impacté par cette faille, tout comme son homologue IE7. Mais à la différence de ce dernier qui fonctionne par défaut en mode protégé sous Vista, Firefox semble plus sensible à la faille.

Ainsi, si la faille ne permet pas sous IE7 de modifier les fichiers système, sous Firefox il est possible d'accéder à l'ensemble des fichiers du disque dur, fichiers système compris. Inquiétant...


Correctifs présents et futurs
Mozilla annonce travailler sur la mise au point d'un correctif (bien que Microsoft ait déjà comblé la faille), et également sur la possibilité d'exécuter Firefox sous Vista en mode protégé tout comme IE7. Plus concrètement, il sera bientôt possible de lancer Firefox avec des privilèges d'exécution réduits, ce qui devrait limiter à l'avenir l'importance de nouvelles vulnérabilités.

Pour ceux que cela intéresse, les chercheurs de la société Determina ont publié  une vidéo montrant comment exploiter cette faille sous Vista à la fois sous IE7 et Firefox.
Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #164324
Mouarf, le titre complettement faux.
La seul difference c'est que sous vista les consequence sont moindre avec IE.
C'est pas du tout ce que dit le titre.
Anonyme
Le #164325
+1.. de là on dirait que ff est plus vulnérable que IE...
Le #164326
euh ... vous abusez de l apero.
c est bien le contenu de l article qui est resume
ou alors j ai pas compris la phrase :"si la faille ne permet pas sous IE7 de modifier les fichiers système, sous Firefox il est possible d'accéder à l'ensemble des fichiers du disque dur, fichiers système compris"

enfin c est samedi et y a pas explication de texte
Le #164328
Depuis quand un logiciel se voit accusé d'une faille quand celle ci vient du système sur lequel il s'execute. Sous mac, linux et autre cette faille n'existe pas. C'est bien une faille de Micrososft et pas de Mozilla. Vraiment un pauvre article que celui là...
Anonyme
Le #164331
désolé mais une fois la faille corrigée par MS, avec IE comme ff ya plus aucun risque! c'est une faille de windows et non de ff a la base. c'est quand windows n'est pas patché que ff semble plus risqué...
moi je pense que MS fait des coup en douce et qu'ils auraient tres bien pu dire a mozilla que le mode de IE n'est pas le même que celui de ff... bref!
a noter que la faille a été decouverte en decembre! il y a 4 mois... voyons le temps que firefox va mettre pour appliquer son propre correctif (que vista soit patché ou non)

encore une fois, windows patché le risque retombe a zero, la faille n'est pas dans les navigateurs mais dans windows
Anonyme
Le #164332
le probleme bruno c'est que le titre laisse comprendre que firefox est touché par une faille de securité... ce qui n'est pas le cas. sinon je suis d'accord que pour cette faille de windows, l'exploit est plus dangereux avec firefox aujourd'hui qu'avec IE
Anonyme
Le #164336
bruno: on est d'accord... c'est pas ça le probleme, c'est juste que
"Aujourd'hui nous apprenons que le navigateur web Firefox est lui aussi impacté par cette faille, tout comme son homologue IE7"

ça c'est faux, et le titre peu explicite parce que comme tu l'as dit c'est windows qui est impacté pas IE ni FF...

sur ce, bonne journée, je retourne bosser (snif)
Le #164340
Je suis bien content d'utiliser Opera
Le #164341
hal>on ne parle pas des causes de la faille, on parle ici des consequences.

bruno>tiens puisque t'es là est ce que tu peux regler un chtit probleme stp'' quand on edite les messages et qu'ils contiennent le smiley interrogatif (celui ci => <img src="/img/emo/confused.gif" alt=":'" /> ) et bien le texte correspondant au smiley part en vrille.
merciii

voilà cest tout
Le #164342
Quand même, les gens utilisant FF sous LINUX ne rencontrent aucunement ce problème, une conclusion de faite.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]