Firefox : une faille de 17 ans révélée, Mozilla ne compte rien changer

Le par  |  4 commentaire(s)
firefox-nouveau-logo

Une faille datant de 17 ans a été repérée au sein du navigateur Firefox, elle permettait de subtiliser les fichiers d'un PC à distance via l'envoi d'un fichier HTML par email.

Le chercheur en sécurité Bartak Tawily vient de mettre en évidence une faille dans le navigateur Firefox qui serait connue depuis plus de 17 ans, mais que Mozilla n'a fait qu'ignorer depuis tout ce temps.

Dans une démonstration, il explique comment un attaquant peut télécharger des fichiers sur un PC distant grâce à l'envoi d'un simple fichier HTML douteux par email. Une fois que la cible a reçu le fichier et cliqué dessus, l'attaquant a accès a l'ensemble du répertoire dans lequel est stocké le fichier HTML ainsi qu'aux sous-répertoires.

  

La faille de type "Same Origin Policy" exploite les limites de la protection des navigateurs contre le cross-site scripting. Dans Firefox, tous les fichiers d'un même répertoire constituent une même origine, ce qui permet d'accéder à tous les fichiers d'un même dossier à partir de l'un d'entre eux. Par ailleurs, Firefox autorise également l'utilisation de l'interface de programmation Fetch API permettant d'accéder à leur contenu, ce qui permet donc à un attaquant de préparer le terrain pour un vol de données.

Mozilla a confirmé la situation, mais ne semble pas considérer qu'il s'agit d'une faille, mais plutôt d'un choix de la part des développeurs concernant la gestion du protocole SOP.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2070629
la dernière phrase de l'article semble résumer le ''problème''
Le #2070634
D'après ce que je vois sur la vidéo, il envoie une clé SSH sur le serveur HTML, ça fait donc 2 serveurs (ssh et html) à avoir pour être concerné.

Donc il n'envoie pas un fichier au hazard, la clé SSH, si on l'a, on se connecte directement sans passer par Firefox.
Ha, je remarque aussi que c'est une clé RSA, pas très sécure

Bref, globalement on peut encore utiliser Firefox.
Le #2070638
Par sécurité, un p'tit noscript activé sur les sites "nouveaux"...
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme