Nouvelle faille critique dans Firefox

Un peu plus de deux semaines après la dernière mise à jour du navigateur alternatif, une nouvelle faille critique tombe sur la tête du panda rouge. Visiblement, le rythme de découverte des problèmes est proportionnel à celui du gain de parts de marché: rapide.

Signalée par FrSIRT et qualifiée de « hautement critique » par Secunia, la vulnérabilité résulte d’une erreur présente au niveau de la procédure de gestion des tags IFRAME, elle est exploitée via les extensions et les ‘skins’ qui permettent de customiser Firefox. On trouve de ces fichiers partout. La faille « résulte d’une erreur de permissions présente au niveau de la procédure d’installation des thèmes et extensions firefox, qui ne filtre pas correctement certains paramètres spécialement conçus, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page web ou un email contenant du code javascript malicieux », explique le site. Aucun patch n’est pour le moment disponible et toutes les versions de Firefox (1.0.3 et précédentes) sont touchées. Autant donc prendre ses précautions lors de téléchargement hasardeux d’extensions. « Il n’y a actuellement aucune utilisation connue de ces vulnérabilités », souligne Tristan Nitot de Mozilla. « Des changements ont été effectués sur le service Mozilla Update pour limiter les risques d’utilisation. Mozilla travaille d’arrache-pied pour fournir une solution plus complète à ces vulnérabilités potentielles et fournira cette solution dans le cadre d’une mise à jour de sécurité à venir. Les utilisateurs peuvent se protéger eux-mêmes aujourd’hui en désactivant temporairement JavaScript ou l’option ‘permettre aux sites Web d’installer des logiciels' ». Il y a quelques mois, d’autres logiciels comme Winamp avaient déjà eu à souffrir de ce genre de vulnérabilité. De nombreux spywares et autres codes malicieux avaient alors été répandus par ce moyen.