Firefox 3.6.9 : faille DLL et protection clickjacking

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Firefox 3.6.9 : faille DLL et protection clickjacking

Publié le 08 septembre 2010 à 09:44 par Jérôme G.

Lire sur mobile

Mozilla live une mise à jour 3.6.9 de Firefox qui corrige la faille DLL sous Windows XP et offre une protection contre le détournement de clic.

La Fondation Mozilla propose une nouvelle version de maintenance de son navigateur Firefox. Une version 3.6.9 est ainsi en ligne, voire 3.5.12 pour les utilisateurs qui n'ont pas pu ou voulu faire le saut vers la branche 3.6. Il s'agit de corriger plusieurs problèmes de stabilité et de sécurité.

Un peu moins d'une quinzaine de vulnérabilités dont la majorité partagée pour Fx 3.6 et 3.5. Parmi ces vulnérabilités, on notera tout particulièrement la vulnérabilité critique de chargement de DLL sous Windows XP. Cette faille donne lieu à une série de mises à jour pour tout un tas de logiciels et du côté de Mozilla, Thunderbird ( 3.1.3 ) n'y par exemple pas fait exception.

Rapportée par ACROS Security et un chercheur en sécurité de FortiGuard Labs, cette vulnérabilité peut être exploitée afin que Firefox charge une DLL malveillante qui a été placée sur l'ordinateur de la victime. Mozilla explique qu'au démarrage, Firefox tente de charger le fichier dwmapi.dll qui sous Windows XP n'est pas présent. Firefox va donc essayer de charger la bibliothèque logicielle depuis le répertoire de travail courant.

" Un attaquant peut utiliser cette vulnérabilité en incitant un utilisateur à télécharger un fichier HTML et une copie malveillante de dwmapi.dll dans le même répertoire sur son ordinateur. En ouvrant le fichier HTML avec Firefox, cela permettra au code malveillant d'être exécuté "

, poursuit Mozilla.

Afin d'aider à la protection des utilisateurs, Firefox 3.6.9 bénéficie par ailleurs du support de la fonctionnalité X-FRAME-OPTIONS pour l'entête de réponse HTTP. Cette dernière peut être utilisée afin d'indiquer si un navigateur est autorisé ou non à effectuer le rendu d'une page dans l'élément frame ( cadre ). Les sites Web peuvent en tirer parti en s'assurant que leur contenu n'est pas embarqué dans d'autres sites et éviter pour l'utilisateur les attaques de type clijacking ou détournement de clic.

La mise à jour de Firefox peut être sollicitée depuis le menu d'aide ou téléchargée directement depuis cette page : Firefox 3.6.9, Firefox 3.5.12.