Firefox n'est (malheureusement) pas exempt de failles. Le site FrSIT
(French Security Incident Response Team) a ainsi dévoilé une nouvelle
faille critique dans le navigateur de la fondation Mozilla. La faille
concerne toutes les versions du navigateur, y compris la dernière
version 1.0.3. La gestion des paramètres "src" et "iconURL" ne serait
pas correctement filtrée. Certains pirates pourraient exploiter cette
mauvaise gestion pour exécuter du code malicieux à distance via une
page web ou un email contenant du code javascript.
En attendant une correction officielle de cette faille il est conseillé
de désactiver la prise en charge du javascript dans le navigateur. Pour
ceux qui souhaitent en savoir davantage, il suffit de se rendre sur
cette page [http://www.frsirt.com/bulletins/1192].
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
"Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public."
Y a pas à dire, c'est du rapide :)
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/ Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/
"Update - L'exploitation de cette vulnérabilité n'est plus possible à
l'heure actuelle, car la fondation Mozilla à modifié la fonction
"install" sur son serveur de téléchargement des extensions (en y
ajoutant des nombres et des chiffres générés aléatoirement), ce qui
empêche l'exécution de commandes arbitraires distantes et la
compromission d'un système vulnérable via l'exploit public."
Y a pas à dire, c'est du rapide :)
--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/
"Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public."
Y a pas à dire, c'est du rapide :)
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/ Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/
Julien Queinnec
Veronique Fritiere a écrit dans news::
bonjour,
Sécurité : une faille critique dans Firefox
Firefox n'est (malheureusement) pas exempt de failles. Le site FrSIT (French Security Incident Response Team) a ainsi dévoilé une nouvelle faille critique dans le navigateur de la fondation Mozilla. La faille concerne toutes les versions du navigateur, y compris la dernière version 1.0.3. La gestion des paramètres "src" et "iconURL" ne serait pas correctement filtrée. Certains pirates pourraient exploiter cette mauvaise gestion pour exécuter du code malicieux à distance via une page web ou un email contenant du code javascript.
En attendant une correction officielle de cette faille il est conseillé de désactiver la prise en charge du javascript dans le navigateur. Pour ceux qui souhaitent en savoir davantage, il suffit de se rendre sur cette page [http://www.frsirt.com/bulletins/1192].
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de désactiver l'option "Permettre aux sites web d'installer des logiciels" dans Outils - Options - Fonctionnalités Web.
Da plus, en attendant une correction plus complète, Mozilla.org a modifier le site de téléchargement des extensions Firefox rendant les Firefox configurer par défaut pour l'installation d'extension (ie n'ayant pas rajouter de sites dans la liste des sites autorisés par défaut à installer des extensions) insensibles à cette faille.
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Voir https://bugzilla.mozilla.org/show_bug.cgi?id)3302 pour suivre les réflexions sur le sujet.
Julien Queinnec -- - Un barbu, c'est un barbu...Trois barbus, c'est des barbouzes !
Veronique Fritiere a écrit dans
news:mn.4c1c7d55d4739b26.5600@alussinannation.org.invalid:
bonjour,
Sécurité : une faille critique dans Firefox
Firefox n'est (malheureusement) pas exempt de failles. Le site FrSIT
(French Security Incident Response Team) a ainsi dévoilé une nouvelle
faille critique dans le navigateur de la fondation Mozilla. La faille
concerne toutes les versions du navigateur, y compris la dernière
version 1.0.3. La gestion des paramètres "src" et "iconURL" ne serait
pas correctement filtrée. Certains pirates pourraient exploiter cette
mauvaise gestion pour exécuter du code malicieux à distance via une
page web ou un email contenant du code javascript.
En attendant une correction officielle de cette faille il est
conseillé de désactiver la prise en charge du javascript dans le
navigateur. Pour ceux qui souhaitent en savoir davantage, il suffit de
se rendre sur cette page [http://www.frsirt.com/bulletins/1192].
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de
désactiver l'option "Permettre aux sites web d'installer des logiciels"
dans Outils - Options - Fonctionnalités Web.
Da plus, en attendant une correction plus complète, Mozilla.org a modifier
le site de téléchargement des extensions Firefox rendant les Firefox
configurer par défaut pour l'installation d'extension (ie n'ayant pas
rajouter de sites dans la liste des sites autorisés par défaut à installer
des extensions) insensibles à cette faille.
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Voir https://bugzilla.mozilla.org/show_bug.cgi?id)3302 pour suivre les
réflexions sur le sujet.
Julien Queinnec
--
- Un barbu, c'est un barbu...Trois barbus, c'est des barbouzes !
Firefox n'est (malheureusement) pas exempt de failles. Le site FrSIT (French Security Incident Response Team) a ainsi dévoilé une nouvelle faille critique dans le navigateur de la fondation Mozilla. La faille concerne toutes les versions du navigateur, y compris la dernière version 1.0.3. La gestion des paramètres "src" et "iconURL" ne serait pas correctement filtrée. Certains pirates pourraient exploiter cette mauvaise gestion pour exécuter du code malicieux à distance via une page web ou un email contenant du code javascript.
En attendant une correction officielle de cette faille il est conseillé de désactiver la prise en charge du javascript dans le navigateur. Pour ceux qui souhaitent en savoir davantage, il suffit de se rendre sur cette page [http://www.frsirt.com/bulletins/1192].
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de désactiver l'option "Permettre aux sites web d'installer des logiciels" dans Outils - Options - Fonctionnalités Web.
Da plus, en attendant une correction plus complète, Mozilla.org a modifier le site de téléchargement des extensions Firefox rendant les Firefox configurer par défaut pour l'installation d'extension (ie n'ayant pas rajouter de sites dans la liste des sites autorisés par défaut à installer des extensions) insensibles à cette faille.
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Voir https://bugzilla.mozilla.org/show_bug.cgi?id)3302 pour suivre les réflexions sur le sujet.
Julien Queinnec -- - Un barbu, c'est un barbu...Trois barbus, c'est des barbouzes !
Veronique Fritiere
Promue marginale calée en ordinatique, je décrypte la prose de *Frederic Bezies*
"Update
[snip]
ah cool ! merci pour l'info :-) Je répercute sur les NG woo et la ML.
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de
*Frederic Bezies*
"Update
[snip]
ah cool ! merci pour l'info :-)
Je répercute sur les NG woo et la ML.
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de *Frederic Bezies*
"Update
[snip]
ah cool ! merci pour l'info :-) Je répercute sur les NG woo et la ML.
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Jean-Marc Desperrier
Julien Queinnec wrote:
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de désactiver l'option "Permettre aux sites web d'installer des logiciels" dans Outils - Options - Fonctionnalités Web. Da plus, en attendant une correction plus complète, Mozilla.org a modifier le site de téléchargement des extensions Firefox rendant les Firefox configurer par défaut pour l'installation d'extension [...].
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Il y a plusieurs éléments dans cette faille, et même une fois ces précautions prises, il reste encore actif une faiblesse permettant de voler le contenu de cookies, qui ne peut être évitée sans désactiver javascript. La 1.0.4 est donc vraiment nécessaire.
Pour la petite histoire, les personnes ayant découverts cette vulnérabilité travaillaient depuis plusieurs jours avec mozilla.org pour qu'un correctif sorte très rapidement, et que la faille ne soit révélée qu'une fois que la correction définitive serait disponible.
Mais une autre personne a décidé de révéler cette faiblesse immédiatement. Ce qui rend la situation franchement désagréable est qu'il ne semble pas qu'elle ait pris cette décision douteuse (*) après avoir trouvé la faille indépendamment, mais qu'un des chercheurs à l'origine de la découverte ait un peu trop fait confiance au sérieux et au respect de la discrétion d'un des ses interlocuteurs.
(*) Douteuse dans la mesure où le vendeur était décidé à résoudre le problème dans un délai rapide, et pas à dormir dessus jusqu'à ce que ce soit publique. Lorsqu'après plusieurs mois révéler la faiblesse est la seule manière de le faire réagir, cela devient au contraire légitime.
Julien Queinnec wrote:
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de
désactiver l'option "Permettre aux sites web d'installer des logiciels"
dans Outils - Options - Fonctionnalités Web.
Da plus, en attendant une correction plus complète, Mozilla.org a modifier
le site de téléchargement des extensions Firefox rendant les Firefox
configurer par défaut pour l'installation d'extension [...].
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Il y a plusieurs éléments dans cette faille, et même une fois ces
précautions prises, il reste encore actif une faiblesse permettant de
voler le contenu de cookies, qui ne peut être évitée sans désactiver
javascript. La 1.0.4 est donc vraiment nécessaire.
Pour la petite histoire, les personnes ayant découverts cette
vulnérabilité travaillaient depuis plusieurs jours avec mozilla.org pour
qu'un correctif sorte très rapidement, et que la faille ne soit révélée
qu'une fois que la correction définitive serait disponible.
Mais une autre personne a décidé de révéler cette faiblesse
immédiatement. Ce qui rend la situation franchement désagréable est
qu'il ne semble pas qu'elle ait pris cette décision douteuse (*) après
avoir trouvé la faille indépendamment, mais qu'un des chercheurs à
l'origine de la découverte ait un peu trop fait confiance au sérieux et
au respect de la discrétion d'un des ses interlocuteurs.
(*) Douteuse dans la mesure où le vendeur était décidé à résoudre le
problème dans un délai rapide, et pas à dormir dessus jusqu'à ce que ce
soit publique. Lorsqu'après plusieurs mois révéler la faiblesse est la
seule manière de le faire réagir, cela devient au contraire légitime.
En fait, il n'est pas nécessaire de désactiver le javascript, il suffit de désactiver l'option "Permettre aux sites web d'installer des logiciels" dans Outils - Options - Fonctionnalités Web. Da plus, en attendant une correction plus complète, Mozilla.org a modifier le site de téléchargement des extensions Firefox rendant les Firefox configurer par défaut pour l'installation d'extension [...].
Une version 1.0.4 devrait cependant sortir pour corriger cette faille.
Il y a plusieurs éléments dans cette faille, et même une fois ces précautions prises, il reste encore actif une faiblesse permettant de voler le contenu de cookies, qui ne peut être évitée sans désactiver javascript. La 1.0.4 est donc vraiment nécessaire.
Pour la petite histoire, les personnes ayant découverts cette vulnérabilité travaillaient depuis plusieurs jours avec mozilla.org pour qu'un correctif sorte très rapidement, et que la faille ne soit révélée qu'une fois que la correction définitive serait disponible.
Mais une autre personne a décidé de révéler cette faiblesse immédiatement. Ce qui rend la situation franchement désagréable est qu'il ne semble pas qu'elle ait pris cette décision douteuse (*) après avoir trouvé la faille indépendamment, mais qu'un des chercheurs à l'origine de la découverte ait un peu trop fait confiance au sérieux et au respect de la discrétion d'un des ses interlocuteurs.
(*) Douteuse dans la mesure où le vendeur était décidé à résoudre le problème dans un délai rapide, et pas à dormir dessus jusqu'à ce que ce soit publique. Lorsqu'après plusieurs mois révéler la faiblesse est la seule manière de le faire réagir, cela devient au contraire légitime.
