Nos confrères du site de sécurité Vulnérabilité.com nous apprennent que le chercheur en sécurité Aviv Raff, découvreur de failles émérite qui avait révélé l'existence de la première vulnérabilité affectant le navigateur Safari d'Apple pour Windows quelques heures seulement après son lancement, fait encore parler de lui en ce début d'année. Selon Raff, c'est cette fois-ci le fureteur de Mozilla qui est victime d'une vulnérabilité de type spoofing. Via l'exploitation de cette dernière, un attaquant peut mener des attaques par phishing et leurrer un utilisateur afin qu'il saisisse ses identifiants dans une boîte de dialogue faussement légitime.
Lors d'une consultation, quand un serveur Web retourne un code 401 et l'en-tête WWW-Authenticate pour préciser le schéma d'authentification et la zone pour laquelle cette autorisation est nécessaire, Firefox affiche une boîte de dialogue destinée à recueillir le nom d'utilisateur et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm de l'entête WWW-Authenticate qui sert à identifier le domaine de protection, est nécessaire et ce dernier sera affiché dans la boîte de dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm qui dans certains cas n'est pas correctement traité et toujours d'après Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de dialogue malicieuse demandant la saisie d'identifiants en se revendiquant d'un site de confiance.
La preuve en vidéo
S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration du problème. Dans le cadre d'un scénario typique d'attaque, un pirate crée une page Web avec un lien renvoyant vers un site de confiance comme un site bancaire, un webmail. Lorsque la victime clique sur le lien, la page sûre est ouverte dans une nouvelle fenêtre et un script est exécuté pour rediriger cette fenêtre vers le serveur Web de l'attaquant qui va retourner la boite de dialogue spécialement conçue évoquée précédemment, et apparemment liée au site pour l'utilisateur.
Cette vulnérabilité affecte la dernière version 2.0.0.11 de Firefox et probablement les versions antérieures. D'autres produits de la Fondation Mozilla sont également susceptibles d'être affectés. Pour éviter toute déconvenue et dans l'attente d'un correctif de sécurité, Aviv Raff recommande tout simplement de ne pas fournir son nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.
Lors d'une consultation, quand un serveur Web retourne un code 401 et l'en-tête WWW-Authenticate pour préciser le schéma d'authentification et la zone pour laquelle cette autorisation est nécessaire, Firefox affiche une boîte de dialogue destinée à recueillir le nom d'utilisateur et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm de l'entête WWW-Authenticate qui sert à identifier le domaine de protection, est nécessaire et ce dernier sera affiché dans la boîte de dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm qui dans certains cas n'est pas correctement traité et toujours d'après Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de dialogue malicieuse demandant la saisie d'identifiants en se revendiquant d'un site de confiance.
La preuve en vidéo
S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration du problème. Dans le cadre d'un scénario typique d'attaque, un pirate crée une page Web avec un lien renvoyant vers un site de confiance comme un site bancaire, un webmail. Lorsque la victime clique sur le lien, la page sûre est ouverte dans une nouvelle fenêtre et un script est exécuté pour rediriger cette fenêtre vers le serveur Web de l'attaquant qui va retourner la boite de dialogue spécialement conçue évoquée précédemment, et apparemment liée au site pour l'utilisateur.
Cette vulnérabilité affecte la dernière version 2.0.0.11 de Firefox et probablement les versions antérieures. D'autres produits de la Fondation Mozilla sont également susceptibles d'être affectés. Pour éviter toute déconvenue et dans l'attente d'un correctif de sécurité, Aviv Raff recommande tout simplement de ne pas fournir son nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.
Source :
Par la rédaction de Vulnérabilité
