Firefox et gestion des mots de passe: nouvelle vulnérabilité

Le par  |  18 commentaire(s)
firefox logo

Preuve de concept à l'appui, le navigateur de la Foundation Mozilla serait affecté par une vulnérabilité au sein de son gestionnaire de mots de passe. Nécessitant le recours au JavaScript, cette faille toucherait également le navigateur Safari.

Firefox logoLe conditionnel est encore de rigueur, en attendant confirmation de la Foundation Mozilla pour plus de détails ou à défaut, celui d'une société spécialisée dans le domaine de la sécurité informatique à l'instar de Secunia.

Néanmoins, selon le site Linux.com qui a collecté des informations émanant d'une liste de diffusion justement hébergée par Secunia, le navigateur Web Firefox dans sa récente version 2.0.0.5 serait affecté par une vulnérabilité dont l'exploitation permettrait de dévoiler au grand jour les mots de passe de l'utilisateur.


Mots de passe en danger ?
Une telle exploitation nécessiterait cependant l'activation de la fonction enregistrement des mots de passe dans le gestionnaire de Firefox prévu à cet effet avec en sus, l'activation du support JavaScript et la visite d'une page Web piégée. Du crédit est à apporter à l'existence de cette faille puisque Heise Security a d'ores et déjà publié une preuve de concept que tout utilisateur peut mettre à l'épreuve.

Tous les contours de cette vulnérabilité supposée ne sont pas encore bien définis mais ce n'est pas la première fois que Firefox a maille à partir avec la gestion des mots de passe, comme en novembre 2006 même si à l'époque, JavaScript n'était pas dans le coup.

En attendant confirmation et correction de ladite vulnérabilité, pour continuer à surfer serein avec le fureteur au panda rouge (sites avec demande d'identification), une solution s'impose d'elle-même, la désactivation de l'option d'enregistrement des mots de passe voire la désactivation de l'interprétation JavaScript (à ce niveau, une extension comme NoScript peut s'avérer utile).

A noter par ailleurs que le navigateur Safari d' Apple souffrirait du même type de vulnérabilité.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #178414
Un moment j'ai eu très peur, ça semblait trop facile.

Une page piégée ne peut récupérer que les identifiants pour le site sur lequel elle se trouve. Ca limite un peu.

C'est surtout chiant pour les platformes de blog et autres.
Le #178422
Bah, suffit de noter les mots de passe ailleurs, par exemple dans ces neurones et hop ! plus de problème.
Le #178429
En effet, le site ne peut récupérer que les mots pour ce site là. Aucune chance de lire la totalité des mots de passes

Encore une brève très alarmante, pour pas grand chose
Le #178431
Qui donc a inventé le JavaScript ?! C'est pas possible. Toutes les failles découlent de ce truc !
deathscythe0666 Hors ligne VIP 5900 points
Le #178433
@Anakin

+1

Ça me fait toujours rire quand on voit d'où viennent les failles sur le web
Sinon, ça fait longtemps que je ne stocke plus les passwds à cause d'autres vulnérabilités sur tous les browsers.
Le #178448
Qui a donc inventé la lame ?! C'est pas possible. Tous les crimes à armes blanches découlent de ce truc !
Le #178451
Sauf que pour la lame, c'est l'utilisateur qui décide de l'utiliser pour faire un crime. L'utilisateur de JavaScript décide-t-il d'avoir une faille qui va diffuser ses mots de passe ? J'en doute.
Le #178452
J'aime bien la lame,
on peut découper le saucisson avec
Le #178455

Anakin Starkiller


c'est pas faux
Le #178456
Ce qui m'étonne c'est que quelqu'un est encore assez fou pour enregistrer ses mots de passes et cela sur tous systèmes confondus. Il existe un outils de pointe pour mémoriser ses mots de passe: le cerveau.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]