La semaine dernière nous nous faisions l'écho dans l'une de nos actualités de cette vulnérabilité. Entre-temps, la menace a pris de l'ampleur avec la publication d'une preuve de concept impliquant le service de messagerie Gmail de Google.
Bientôt un Firefox 2.0.0.10
Comme déjà évoqué, sous Firefox, le problème résulte d'une erreur de validation du type de contenus définis par le standard MIME dans le cadre du recours au protocole jar, utilisé pour l'extraction du contenu d'un fichier compressé. Un scénario d'exploitation typique envisage qu'un attaquant télécharge vers un site de confiance un fichier zip spécialement conçu, et qu'un utilisateur charge via Firefox un URI jar: malicieux pointant vers ce fichier. Etant donné que le contenu est chargé par l'utilisateur depuis un site de confiance, du code arbitraire peut s'exécuter dans un environnement à priori sûr. Les fondements d'une attaque par XSS (cross site scritping) sont posés et le pirate peut accéder à des données stockées sur ledit site de confiance.
Avec la preuve de concept qui vient d'être publiée, ce site de confiance prend les traits de Gmail et les données stockées sont relatives au contacts de l'utilisateur devenu victime. Cette POC ( Proof Of Concept ) présage toutefois d'exploitations à venir potentiellement plus dangereuses. Mozilla a désormais bien pris la mesure du problème en indiquant dans son blog de sécurité qu'avec le protocole jar, les futures versions de Firefox ne supporterons uniquement que les fichiers servis avec un type MIME correct (application/java-archive), et s'assurerons par ailleurs d'un contexte sécuritaire plus adéquat.
Une mise à jour estampillée 2.0.0.10 de Firefox est ainsi en cours d'évaluation et devrait être disponible d'ici peu.
