Vulnérabilité de type spoofing dans Firefox

Le par  |  4 commentaire(s) Source : Par la rédaction de Vulnérabilité

Un chercheur en sécurité israélien a identifié dans la dernière mouture du navigateur Web de Mozilla, une vulnérabilité de type spoofing susceptible de mettre en péril les identifiants des utilisateurs.

Nos confrères du site de sécurité Vulnérabilité.com nous apprennent que le chercheur en sécurité Aviv Raff, découvreur de failles émérite qui avait révélé l'existence de la première vulnérabilité affectant le navigateur Safari d'Apple pour Windows quelques heures seulement après son lancement, fait encore parler de lui en ce début d'année. Selon Raff, c'est cette fois-ci le fureteur de Mozilla qui est victime d'une vulnérabilité de type spoofing. Via l'exploitation de cette dernière, un attaquant peut mener des attaques par phishing et leurrer un utilisateur afin qu'il saisisse ses identifiants dans une boîte de dialogue faussement légitime.

Lors d'une consultation, quand un serveur Web retourne un code 401 et l'en-tête WWW-Authenticate pour préciser le schéma d'authentification et la zone pour laquelle cette autorisation est nécessaire, Firefox affiche une boîte de dialogue destinée à recueillir le nom d'utilisateur et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm de l'entête WWW-Authenticate qui sert à identifier le domaine de protection, est nécessaire et ce dernier sera affiché dans la boîte de dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm qui dans certains cas n'est pas correctement traité et toujours d'après Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de dialogue malicieuse demandant la saisie d'identifiants en se revendiquant d'un site de confiance.


La preuve en vidéo

S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration du problème. Dans le cadre d'un scénario typique d'attaque, un pirate crée une page Web avec un lien renvoyant vers un site de confiance comme un site bancaire, un webmail. Lorsque la victime clique sur le lien, la page sûre est ouverte dans une nouvelle fenêtre et un script est exécuté pour rediriger cette fenêtre vers le serveur Web de l'attaquant qui va retourner la boite de dialogue spécialement conçue évoquée précédemment, et apparemment liée au site pour l'utilisateur.

Cette vulnérabilité affecte la dernière version 2.0.0.11 de Firefox et probablement les versions antérieures. D'autres produits de la Fondation Mozilla sont également susceptibles d'être affectés. Pour éviter toute déconvenue et dans l'attente d'un correctif de sécurité, Aviv Raff recommande tout simplement de ne pas fournir son nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #194247
Merci pour la news, un peu du réchauffé (3 janvier) mais on est Dimanche .. lol
Bonne année à tous et à toutes

Pour revenir à la "faille" , les habitués de Firefox ne sont (j'espère) pas assez glands pour taper leur id/mdp dans la boite proposée par Firefox et non pas par le site spoofé.
Mais on peut compter sur la réactivité de l'équipe Mozilla pour veiller au grain.
Le #194253
"les habitués de Firefox ne sont (j'espère) pas assez glands pour taper leur id/mdp dans la boite proposée par Firefox et non pas par le site spoofé."

bah y a des sites qui utilisent cette boite de dialogue pour s'authentifier (tu me diras ce sont des petits sites, mais ils existent quand meme).
tu peux pas reconnaitre visuellement la vraie de la fausse le gars qui exploite la faille est quand même pas idiot pour faire une boite de dialogue differente de l'originale.
par contre quand on veut se connecter sur ces sites il faut le faire depuis la barre d'adresse et non pas en cliquant sur un autre lien qui est sensé nous y mener.

mais bon ya tellement de monde qui ne seront pas au courant qu'au final ceux qui sont au courant peuvent exploiter la faille pour faire leur propre affaire.

voici une faq concernant cette faille:
http://aviv.raffon.net/2008/01/05/FirefoxDialogSpoofingFAQ.aspx
Le #194261
Sur le fond tu as raison. Mais fais le test et tu verras que la page qui s'ouvre avec la boite de dialogue a une barre d'adresse vide .. lol
Pas de www.machin... C'est vide. Alors il faut être vraiment négligent pour tomber dans le panneau.
Maintenant, il y a et il y aura toujours des failles sur tous les navigateurs avec la bande de crogneunieux qui hantent la planète que pour faire du mal. (et remplir ses poches)..
deathscythe0666 Hors ligne VIP 5898 points
Le #194293
@: D

Tu remarqueras que parmi les "petits sites" qui utilisent la boîte de dialogue, il y a le petit serveur web pour 2 personnes : sql.free.fr ...

À part ça, +1 sur ton commentaire
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]