Mozilla met à jour Firefox 2 et 3

La fondation Mozilla lance deux nouvelles versions de maintenance de ses navigateurs Internet Firefox 2 et Firefox 3. Deux vulnérabilités critiques sont corrigées dans Firefox 2.0.0.16 et trois dans Firefox 3.0.1. Les deux premières sont communes aux deux navigateurs Internet, ainsi qu’à Thunderbird qui les supprimera dans la version 2.0.0.16.

Une surcharge du compteur de références lié aux objets CSS permet de ‘planter’ le navigateur. Un dépassement de tampon a été constaté : il pourrait permettre l’exécution de code distant sur la machine de l’utilisateur. La suite Internet Seamonkey est également touchée par cette faille, qui est corrigée dans la version 1.1.11 du logiciel.

La seconde vulnérabilité concerne le passage de paramètres à Firefox lors de son lancement. Sous certaines conditions, il est possible de lire le contenu du disque de l’utilisateur. L’attaque ne peut s’effectuer qu’à partir d’un autre navigateur Internet qui démarrera une session de Firefox. Le simple fait de lancer manuellement Firefox élimine donc tout risque.

Le troisième problème ne touche que Firefox 3.0. Sous Mac OS X, une image GIF spécifique permet de provoquer la libération d’un pointeur non initialisé. Le crash du navigateur et l’exécution de code distant sur la machine de l’utilisateur deviennent alors potentiellement possibles.

La mise à jour du navigateur s’effectuera – en général – de façon automatique, soit directement, soit via les dépôts logiciels de votre distribution Linux.

Pour tout connaître sur Firefox 3, consultez notre dossier spécial, 4 pages d’infos avec Tristan Nitot, président de Mozilla Europe.