Mozilla corrige en urgence le viewer PDF de Firefox

Jacques Cheminat,

La Fondation Mozilla demande aux utilisateurs de Firefox de télécharger en urgence une mise à jour du navigateur. Elle corrige une faille présente dans le viewer PDF.

Décidément cette semaine n’aura pas été un long fleuve tranquille en matière de sécurité. Outre les différentes annonces de la Black Hat et les différentes failles dans Android, c’est la Fondation Mozilla qui tire la sonnette d’alarme sur une faille présente dans Firefox. Il s’agit d’une vulnérabilité découverte par un chercheur en sécurité, Cody Crew, dans une publicité malveillante sur un site d’information Russe. La brèche se situe dans le viewer PDF et permet de chercher les données sensibles sur l’ordinateur.

Mozilla a donc mis en place un correctif pour la version 39 de Firefox, ainsi que pour la mouture ESR 38.1.1, qui dispose d’un support étendu. La mise à jour doit être téléchargée le plus rapidement possible, car la faille est déjà exploitée. Pour la plupart des utilisateurs, le correctif se mettra en place automatiquement avec l’update du navigateur à la prochaine activation.

Des fichiers locaux pris pour cibles sous Windows et Linux

La vulnérabilité provient « de l’interaction du mécanisme qui impose la séparation du contexte JavaScript et la visionneuse PDF de Firefox», explique dans un blog, Daniel Veditz, chef de la sécurité chez Mozilla. Il se veut rassurant : « La faille ne permet pas d’exécution de code arbitraire à distance, mais l’attaque est capable d’injecter un JavaScript malveillant dans un fichier contextuel local. Ce qui donnerait la capacité de faire des recherches et de télécharger des fichiers locaux sensibles. »

Dans la méthode découverte par Cody Crew, la charge utile en JavaScript ciblait des fichiers de configurations de Subeversion, s3browser, Filezilla et libpurple sur les systèmes Windows. Pour Linux, le code malveillant va chercher des fichiers de configuration dans /etc/ mais aussi dans .bash_history, .mysql_history, .pgsql_history, .ssh files, n’importe quel fichier texte avec un « pass » et un « access » dans le nom, et enfin sur la totalité des scripts shell. Les MAC ne sont pas concernés par cette faille.

A lire aussi :

Windows 10 : Mozilla mécontent du choix par défaut du navigateur Edge

Mozilla revoit sa stratégie et veut accélérer le développement de Firefox