Le navigateur Firefox touché par deux failles de sécurité

Le par  |  14 commentaire(s)
firefox logo

Selon nos confrères canadiens de CBCnews, relayant les alertes publiées ce mercredi par SecuriTeam, le navigateur web de la Fondation Mozilla serait victime de deux failles de sécurité.

Firefox logoSelon nos confrères canadiens de CBCnews, relayant les alertes publiées ce mercredi par SecuriTeam, le navigateur web de la Fondation Mozilla serait victime de deux failles de sécurité. Deux versions sont concernées, à savoir la 1.5.0.9 et la dernière en date, la 2.0.0.1.


Les filtre anti-popup et anti-phishing sont impactés
La première vulnérabilité, qui impacte la mouture 1.5.0.9, concerne le bloqueur de fenêtres intempestives. Si, après avoir cliqué sur le lien frauduleux présent dans un courrier électronique ou une page web, l'internaute avait le malheur d'autoriser manuellement l'ouverture de la fenêtre bloquée, un code malicieux serait alors exécuté et permettrait aux pirates informatiques de prendre éventuellement le contrôle de sa machine.

La seconde faille, qui touche la dernière version en date, la 2.0.0.1, concerne l'outil anti-hameçonnage du navigateur web. L'ajout de quelques caractères ' / ', dans l'adresse URL ( Uniform Resource Locator ) permettrait au site pirate de passer au travers des mailles du filet. Exemple : " http://kaneda.bohater.net//phish.html ".
Complément d'information
  • Test Firefox 9 : le navigateur web de Mozilla
    Comme pour Google Chrome, il faudra s'y habituer avec Mozilla Firefox on disposera d'un nouveau numéro de version tout au plus pour quelques fonctionnalités, quelques améliorations et des incontournables corrections de failles. Que vaut ...
  • Test Firefox 4 : performances & nouveautés du navigateur web
    Il était très attendu et finalement le voici, le Firefox 4 ! Le nouveau navigateur web de la Fondation Mozilla apporte avec lui un lot de nouveautés et va tenter de séduire son public déjà acquis et surtout les autres, qui ont déjà ...

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #155824
La rançon du succès
Le #155829
la premiere faille est grave, la seconde pas tellement car y aura toujours moyen de magouiller l'adresse
Le #155831
Phebus...comme IE ' )
Le #155854
Salut,
La première semble tout de même pas facile à exploiter
http://www.securiteam.com/securitynews/5JP051FKKE.html
Par contre, la seconde astuce qui permet de feinter l'anti-phishing, fonctionne aussi dans Opera 9.10 (finale, révision 8679)
source :
http://kaneda.bohater.net/security/20061220-opera_9.10_final_bypass_fraud_protection.php
mais, je viens de tester, elle est déjà corrigée sur les dernières versions de développement
http://my.opera.com/desktopteam/
et l'anti-phishing d'IE7 ne semble pas du tout sensible à cette ruse , clap-clap.
@+
--
Pierre
Le #155864
et c'est reparti "c'est moi qui pisse plus loin-euh"
Le #155866
ben là, pour le coup, t'as pas l'air d'avoir compris, mais Opera et Firefox pissent pas plus loin que l'autre, hein...
Le #155868
ra-mon >ça ne te visait pas en particulier.
deathscythe0666 Hors ligne VIP 5898 points
Le #155897
freeman, je vois pas trop la gravité de la première faille, il faut quand même que l'utilisateur autorise par erreur une popup ...
Ce qu'il faudrait plutôt corriger dans cette faille, ce serait la protection contre le code exécuté. Je trouve bizarre d'accuser l'anti-popup du coup

La seconde : est-ce que la suppression des doubles '/' AVANT tout traitement pourrait résoudre le problème '
Le #155907
oui firefox à des failles
mais en ce qui concerne la reactivité
y a po photo mozilla est bien plus rapide pour corriger les failles
Le #155916
plus rapide que quoi ' parce qu'on a pas tous les mêmes références '
pour en rester au problème précis, le fait que la fonctionnalité ait été déléguée à Google ne semble pas, au contraire, simplifier ou accélerer les choses
lire https://bugzilla.mozilla.org/show_bug.cgi'id=367538 est assez instructif
Là, il faut attendre que le sous-traitant veuille bien, prendre en compte puis corriger le problème, un peu comme le cas récent dont j'avais déjà parlé (divulgation d'info confidentielle dans la goog-black-list)...
http://www.finjan.com/Pressrelease.aspx'PressLan=1230&id=1261&lan=3
C'est un choix... que les autres n'ont pas fait.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]