Firefox 1.0.4 dans les bacs

Comme prévu, la Fondation Mozilla a mis en ligne une mise à jour critique de son navigateur (v1.0.4) ainsi que de la Mozilla Suite (v1.7.8), quatre jours seulement après la découverte de deux méchantes failles. Saluons encore une fois la réactivité de la communauté et de la Fondation. Une réactivité qui fait horriblement défaut à Internet Explorer. Et qui lui coûte des parts de marché.

Selon le site de veille FrSIRT, le premier problème résulte d’une erreur de validation d’entrées présente au niveau de la gestion des urls « javascript: » incluses avec les pseudo-protocoles « view-source: » et « jar: ». La faille pourrait être exploitée via un site web malicieux afin de conduire des attaques par Cross Site Scripting et exécuter des commandes arbitraires. La seconde vulnérabilité est due à une erreur présente au niveau de la gestion des objets Javascript eval et Script qui sont exécutés avec des privilèges élevés. Elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Comme d’habitude, rendez-vous sur le site de la Fondation pour télécharger les dernières versions.