Faille critique dans Firefox

Une rustine sera proposée la semaine prochaine

Firefox n’est pas exempt de failles. Le code d’une attaque exploitant une vulnérabilité critique non corrigée dans le navigateur a été publié sur la Toile par un expert en sécurité ce mercredi. Ce code, modifiable et exploitable, permet d’installer un programme malveillant sur une machine ciblée équipée du navigateur.

Il suffit de piéger l’internaute via un fichier XML infecté, au sein d’une page Web par exemple, ce qui permet ensuite à l’attaquant d’installer une application non autorisée dans le système de la victime (attaque de type drive by download).

La Fondation Mozilla s’est emparée du problème et devrait livrer une nouvelle version de Firefox (3.0.8) dans le courant de la semaine prochaine. Cette mise à jour est considérée comme prioritaire.

Le danger de cette faille est confirmé : « C’est un problème critique », concède Lucas Adamski, directeur de la sécurité pour la Fondation. Elle impacte aussi bien les machines Windows, que les Mac et les OS Linux.

Rappelons qu’au dernier CanSec, chercheurs et pirates ont mis à mal les protections des navigateurs. Selon les responsables de la conférence, seul Chrome, le navigateur de Google, a tenu le coup face aux coups de boutoir des hackers. Firefox est tombé, comme les autres.

A lire : Amy Barzdukas (Microsoft) : « La sécurité de Firefox est un mythe »

Lire aussi : OAuth arrive (doucement) sur les serveurs Exchange locaux