Vulnérabilité Firefox : de possibles fuites d'informations

Une vulnérabilité de type directory transversal dans Firefox peut permettre à des pages Web spécialement conçues de lire des informations confidentielles sur la machine d'un utilisateur.

La démonstration, quant à elle, montre comment via l'ouverture avec Firefox d'une page Web piégée, il est possible de lire le fichier de configuration globale sous Windows du client mail Thunderbird (un autre programme aurait pu être choisi). Néanmoins, l'exploit nécessite que soit installée une extension (ou module complémentaire) qui n'est pas présente sous la forme d'une archive JAR (fichier à l'extension .jar), ce qui est le cas pour nombre d'entre elles.
Des pages web piégées
Une page Web pourrait ainsi accéder à une URL chrome://, chrome étant le moteur de Firefox dédié à l'interface utilisateur, pour par exemple exécuter une commande afin de charger des images, scripts ou feuilles de style. Si cette URL est encodée avec des caractères du type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les convertir en ../ et à les éliminer, avec pour conséquence qu'ils peuvent être utilisés pour lire des fichiers arbitraires situés dans un répertoire tiers (vis-à-vis de celui qui héberge l'extension).
Avec cette méthode, des attaquants peuvent également vérifier si des programmes spécifiques ou des extensions sont installés et le cas échéant, détecter la présence de vulnérabilités additionnelles.
Parmi les extensions qui permettent l'exploitation de cette vulnérabilité, Mozilla mentionne Download Statusbar et sans doute plus connue, Greasemonkey. Suite à sa divulgation, un patch pour Download Statusbar a d'ailleurs été mis en ligne afin d'installer l'extension sous la forme d'une archive JAR.
Le problème de sécurité a été identifié dans le moteur de rendu version 1.8.1.11, utilisé par la dernière version en date de Firefox. Prudence donc.
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information
-
Une nouvelle version du client de navigation Internet Firefox vient d'être mise en ligne.
-
Le navigateur web Firefox souffre d'une faille de sécurité non encore corrigée par la fondation Mozilla.
Vos commentaires
la source est là, simplement l'article est un simple copié collé...
juste un "prudence donc" de la rédac...
soit tu vérifies tes extensions (qu'elles soient en jar) et tu désactives celles qui ne respectent pas la règle (bcp ont été mises a jour, le cas d'adblock ou noscript je crois)
sinon en attendant tu desactives toutes tes extensions... ça evitera de te compliquer la vie sachant que le risque est faible