Faille critique dans Firefox et Netscape

A mesure où Firefox est de plus en plus populaire, les découvertes de failles se multiplient. Mais jusqu’à présent, reconnaissons que la Fondation Mozilla a toujours été prompte à corriger les problèmes. Gageons qu’elle le sera une fois encore car la vulnérabilité découverte semble importante.

Qualifiée de hautement critique par Secunia et découverte par Tom Ferris du site Security Protocols (à qui on doit la découverte d’un énième récent trou dans Explorer), la vulnérabilité pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable en causant un déni de service. Le problème résulte d’une erreur de type buffer overflow présente au niveau de la fonction « NormalizeIDN » (International Domain Names : domaines utilisant des jeux de caractères locaux) qui ne gère pas correctement certains tags HTML contenant des URLs malformées, explique frSIRT. A partir d’une page internet malicieuse, il est donc possible de crasher le navigateur mais surtout de prendre le contrôle à distance du poste touché via l’exécution de commandes arbitraires. Firefox version 1.0.6 et inférieures, le nouveau Firefox version 1.5 Beta 1 et Mozilla Suite version 1.7.11 et inférieures sont concernés. Evidemment, par ricochet, Netscape est aussi impacté (version 8.0.3.3 et inférieures). La Fondation Mozilla n’a pas encore publié de correctif mais a mis en ligne un patch temporaire qui désactive la fonctionnalité IDN.