Trois failles sous Mozilla / Firefox

On pourra toujours arguer de la sécurité sur Firefox, le navigateur n’en est pas moins un logiciel qui, comme ses congénères, peut présenter des faiblesses exploitables par des personnes mal intentionnées.

Ainsi, le site Secunia vient de révéler trois nouvelles failles sur Mozilla, en versions 0.x à 1.7.x, et sur Firefox en versions 0.x et 1.x. Pas d’inquiétude cependant, elles présentent un risque faible. La première faille exploite la fonction de validation d’une image par l’entête http « Content-Type« , qui utilise l’extension de fichier de l’URL lorsque l’image est sauvegardée après un ‘drag and drop‘, un glisser déposer de l’image. Lors d’un évènement ‘drag and drop‘, une image valide peut être accompagnée d’un script qui se cache derrière l’extension du fichier. La seconde faille permet d’exécuter du code HTML ou un script dans une cession du navigateur en renvoyant vers un lien malicieux lors du ‘glissement’ d’une URL « javascript: » si l’on oublie de valider le module URI. La troisième faille peut provenir d’une erreur dans la restriction d’un module URI chargé via un plug-in. Ces trois failles, qui ont été corrigées par la Fondation Mozilla, peuvent impacter certaines restrictions par mot de passe et entraîner des attaques par ‘cross-site scripting‘.