Mozilla Firefox sensible aux images piégées '

Le par  |  48 commentaire(s) Source : BetaNews
Mozilla Firefox (120x88)

Mozilla Firefox a en partie bâti sa réputation--et son succès--sur un niveau de sécurité élevé, qui a su séduire nombre d'internautes.

Mozilla Firefox a en partie bâti sa réputation--et son succès--sur un niveau de sécurité élevé, qui a su séduire nombre d'internautes. Pas plus épargné que les autres navigateurs Internet par les failles, il affronte cette fois une menace sérieuse, semble-t-il.


En catimini
Mozilla firefox 120x88Une annonce, discrète, il est vrai, concernant la sécurité du navigateur Internet Mozilla Firefox est passée presque inaperçue, à la veille du week-end dernier. Elle décrit pourtant un réel problème... potentiel. Il semble que la manière dont le logiciel open-source gère les images, et ce qu'elles pourraient cacher, ne soit pas exempte de reproche.

                                                                     

                                                                                            (Cliquer pour agrandir)

Selon le site Securityview, la dernière version 1.5.0.3 de Mozilla Firefox présenterait une faiblesse lors du traitement d'images qui englobent un hyper-lien. De telles images sont monnaie courante sur le Web, et renvoient le plus souvent à des URL tout à fait légitimes. Mais il est possible d'y insérer des références beaucoup plus troubles...

Pour l'heure, seule une preuve de concept existe, et à première vue, elle ressemble presque à une plaisanterie : en laboratoire, des chercheurs sont parvenus à faire ouvrir le lecteur Windows Media en cliquant simplement sur une image, mais ils sont aussi arrivés à déclencher la fonction "mailto" (ouverture rapide d'une fenêtre d'envoi d'e-mail) plusieurs dizaines de fois, jusqu'à ce que le système, incapable de gérer une telle demande de ressources, se fige. Tout cela en raison d'une simple fonction, baptisée "img xsrc= ", qui permet de renvoyer l'internaute vers un site donné simplement en cliquant sur une image. Le résultat s'appelle un déni-de-service, et en poussant le raisonnement un cran plus loin, il serait possible de paralyser totalement un ordinateur, voire un réseau, au moyen d'une simple image...


Demi-solutions
Des solutions de contournement existent, comme la désactivation de la fonction "mailto" depuis Mozilla Firefox, ou l'interdiction dans ce même programme d'exécuter des codes écrits en JavaScript, mais cela ressemble un peu à un cautère sur une jambe de bois. Pour l'instant, les grands noms de la sécurité informatique restent prudent dans leur description du problème : le SANS Institute en a parlé, mais Secunia l'ignorait encore au moment où étaient écrites ces lignes.

Gageons toutefois que nous n'avons pas fini d'en entendre parler...


Complément d'information

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #107527
Il ne parlent pas du tout du windows.media player sur le site lié (security view)
Le #107528
Le bug est confirmé. Reste plus qu'à attendre la 1.5.0.4
Et effectivement la source que tu cite ne parle absolument pas de mediaplayer.
Le #107529
gageons que ce sera corrigé vite contrairement a ie
Le #107530
laisse i.e. et les personnes qui l'utilisent traquilles et attend ta mise à jour, merci
Le #107531
faut pas te sentir agressé comme ça, mon petit Re Lacks...

Il a juste ennoncé une réalité, pas la peine de te sentir visé si tu utilises toujours IE.
Le #107533
j'utilise Firefox mais je ne vois pas l'utilité de resortir de vieilles rengaines qui ne font avancer que son égau (et a fortiori dans une new qui met en avant une déficience de firefox)...
D'autant que ie n'est pas aussi mauvais qu'on voudrait le laisser penser
deathscythe0666 Hors ligne VIP 5898 points
Le #107540
Re Lacks, d'accord avec toi, mais je penche plutôt pour l'avancement de l'égo

Je reste persuadé que IE est une bouse non seulement niveau sécurité mais aussi ergonomie (quoique, il y a eu l'ajout de la fonctionnalité inutile des onglets récemment ) mais chacun est libre d'utiliser ce qu'il veut sans que les autres lui crachent dessus.

En particuliers, tous les geeks et ceux qui se sentent à l'aise avec les ordis sont priés d'arrêter de faire les c*****rds avec les autres sous prétexte qu'il en savent un chouia plus.

PS : je ne dis pas non plus que tous se comportent comme ça.
Le #107543
Je n'suis pas sur que l'idée de mettre le lien "img xsrc= " vers une version traduite de la page href="http://www.opensymphony.com/webwork/wikidocs/a.html soit une bonne idée. Les éléments de type "corde" seraient plutôt des chaines de caractères (string en anglais).
Le #107547
merci pour la correction orthographique deathscythe0666...
La vérité avec ie comme avec tous les autres est qu'il ne faut pas cliquer sur n'importe quoi après faut vraiment jouer de malchance pour être victime d'une "faille"
Le #107548
de toute façon, le meilleur navigateur du monde c'est ... links ! au moins avec lui t'es pas emm*rdé avec les images

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]