Mozilla Firefox a en partie bâti sa réputation--et son succès--sur un niveau de sécurité élevé, qui a su séduire nombre d'internautes. Pas plus épargné que les autres navigateurs Internet par les failles, il affronte cette fois une menace sérieuse, semble-t-il.


En catimini
Une annonce, discrète, il est vrai, concernant la sécurité du navigateur Internet Mozilla Firefox est passée presque inaperçue, à la veille du week-end dernier. Elle décrit pourtant un réel problème... potentiel. Il semble que la manière dont le logiciel open-source gère les images, et ce qu'elles pourraient cacher, ne soit pas exempte de reproche.

                                                                     

                                                                                            (Cliquer pour agrandir)

Selon le site Securityview, la dernière version 1.5.0.3 de Mozilla Firefox présenterait une faiblesse lors du traitement d'images qui englobent un hyper-lien. De telles images sont monnaie courante sur le Web, et renvoient le plus souvent à des URL tout à fait légitimes. Mais il est possible d'y insérer des références beaucoup plus troubles...

Pour l'heure, seule une preuve de concept existe, et à première vue, elle ressemble presque à une plaisanterie : en laboratoire, des chercheurs sont parvenus à faire ouvrir le lecteur Windows Media en cliquant simplement sur une image, mais ils sont aussi arrivés à déclencher la fonction "mailto" (ouverture rapide d'une fenêtre d'envoi d'e-mail) plusieurs dizaines de fois, jusqu'à ce que le système, incapable de gérer une telle demande de ressources, se fige. Tout cela en raison d'une simple fonction, baptisée "img xsrc= ", qui permet de renvoyer l'internaute vers un site donné simplement en cliquant sur une image. Le résultat s'appelle un déni-de-service, et en poussant le raisonnement un cran plus loin, il serait possible de paralyser totalement un ordinateur, voire un réseau, au moyen d'une simple image...


Demi-solutions
Des solutions de contournement existent, comme la désactivation de la fonction "mailto" depuis Mozilla Firefox, ou l'interdiction dans ce même programme d'exécuter des codes écrits en JavaScript, mais cela ressemble un peu à un cautère sur une jambe de bois. Pour l'instant, les grands noms de la sécurité informatique restent prudent dans leur description du problème : le SANS Institute en a parlé, mais Secunia l'ignorait encore au moment où étaient écrites ces lignes.

Gageons toutefois que nous n'avons pas fini d'en entendre parler...


Source : BetaNews