Décidément cette semaine n’aura pas été un long fleuve tranquille en matière de sécurité. Outre les différentes annonces de la Black Hat et les différentes failles dans Android, c’est la Fondation Mozilla qui tire la sonnette d’alarme sur une faille présente dans Firefox. Il s’agit d’une vulnérabilité découverte par un chercheur en sécurité, Cody Crew, dans une publicité malveillante sur un site d’information Russe. La brèche se situe dans le viewer PDF et permet de chercher les données sensibles sur l’ordinateur.
Mozilla a donc mis en place un correctif pour la version 39 de Firefox, ainsi que pour la mouture ESR 38.1.1, qui dispose d’un support étendu. La mise à jour doit être téléchargée le plus rapidement possible, car la faille est déjà exploitée. Pour la plupart des utilisateurs, le correctif se mettra en place automatiquement avec l’update du navigateur à la prochaine activation.
La vulnérabilité provient « de l’interaction du mécanisme qui impose la séparation du contexte JavaScript et la visionneuse PDF de Firefox», explique dans un blog, Daniel Veditz, chef de la sécurité chez Mozilla. Il se veut rassurant : « La faille ne permet pas d’exécution de code arbitraire à distance, mais l’attaque est capable d’injecter un JavaScript malveillant dans un fichier contextuel local. Ce qui donnerait la capacité de faire des recherches et de télécharger des fichiers locaux sensibles. »
Dans la méthode découverte par Cody Crew, la charge utile en JavaScript ciblait des fichiers de configurations de Subeversion, s3browser, Filezilla et libpurple sur les systèmes Windows. Pour Linux, le code malveillant va chercher des fichiers de configuration dans /etc/ mais aussi dans .bash_history, .mysql_history, .pgsql_history, .ssh files, n’importe quel fichier texte avec un « pass » et un « access » dans le nom, et enfin sur la totalité des scripts shell. Les MAC ne sont pas concernés par cette faille.
A lire aussi :
Windows 10 : Mozilla mécontent du choix par défaut du navigateur Edge
Mozilla revoit sa stratégie et veut accélérer le développement de Firefox
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.