Mozilla corrige trois failles publiques qui affectent Firefox 3.5 et 3.0

Mozilla enchaîne les mises à jour de sécurité de Firefox. La Fondation a corrigé plusieurs vulnérabilités pour Firefox 3.5, qui passe en version 3.5.2, et Firefox 3.0, qui évolue vers la 3.0.13. Deux de ces failles ont été révélées à l’occasion du Black Hat, la conférence dédiée à la sécurité qui se tenait fin juillet à Las Vegas, par Dan Kaminsky, notamment. Un an plus tôt, l’expert en sécurité avait fait parler de lui en révélant une faille DNS qui touchait les serveurs de nom de domaine.

Les vulnérabilités découvertes par Dan Kaminsky, ainsi que par un consultant baptisé Moxie Marlinspike, affectent Firefox 3.0. Les deux hommes ont démontrés comment exploiter un défaut du protocole de chiffrement SSL (Secure Socket Layer) dans le navigateur afin de voler des données confidentielles lors d’une session web ou en le forçant à accepter un malware déguisé en mise à jour. Rappelons au passage que le support de Firefox 3.0 s’arrêtera en janvier 2010. Mozilla conseille vivement d’utiliser désormais Firefox 3.5.

D’autant que celui-ci n’est pas concerné par la vulnérabilité SSL (les développeurs ayant adopté Network Security Services, une version plus sécurisée du système de chiffrement). Mais le nouveau navigateur a d’autres lacunes de sécurité. Six au total dont quatre critiques. Et une, publique, liée au risque de corruption de données à partir d’adresse web de plus de 15 caractères mais considérée comme faiblement dangereuse par l’éditeur (et déjà corrigée avec Firefox 3.0.12 ). Firefox 3.5.2 en profite pour corriger un problème d’affichage des images à profil ICC (International Color Consortium) sur certains écrans.

Les mises à niveau des deux navigateurs sont donc vivement recommandées. Elles s’effectuent automatiquement dans les 48 heures ou bien manuellement depuis le menu Aide (?). Les mises à jours de Firefox s’appliquent pour les plates-formes Windows, Mac OS et Linux.

_______________________________________________________________