Vulnérabilités

Une faille majeure pour Netscape et ses cousins libres.

Par Jerome Saiz, le 01 mai 2002 à 14:28:00.

Mozilla, le coeur de Netscape et de nombreux autres butineurs, permet à un pirate de consulter librement le disque dur de l'internaute. La faille a frappé Internet Explorer en février dernier, mais elle est plus sévère encore ici, et ne se limite pas seulement à Windows. Aucun correctif n'est disponible à ce jour.

Au mois de février dernier, Microsoft découvrait une faille dans le traitement de certaines requêtes XML par Internet Explorer. Cela permettait à n'importe quel site web de consulter le disque dur des internautes vulnérables, à condition de pouvoir localiser les fichiers visés sur le système de la victime. Aujourd'hui, la même faille est découverte dans exactement le même composant (XMLHttpRequest), mais sur Mozilla cette fois-ci. Et elle est bien plus grave : tous les fichiers sont exposés, et l'intrus peut naviguer dans le disque dur de sa victime ! (Démonstration).
Pire : Mozilla, en plus d'être lui-même un navigateur Open Source, et aussi le coeur de nombreux autres navigateurs, dont Netscape, Galeon ou Skipstone. Tous sont très présents sur de nombreuses plates-formes, dont le Macintosh, Linux, FreeBSD et de nombreux autres Unix libres ou assimilés.
Toutes les versions de Mozilla de la 0.9.7 à la 0.9.9 sont vulnérables, ainsi que Netscape 6.1 et plus. Et si la très médiatique version 1.0 de Mozilla, disponible depuis peu, n'est pas touchée, ce n'est que "grâce" à une erreur de programmation qui rend inutilisable le composant XMLHttpRequest.
Aucun correctif ne semble disponible à l'heure actuelle, et il est conseillé d'utiliser un autre navigateur en attendant la providentielle rustine.

Plus d'information :
Le site officiel de Mozilla.
Une démonstration de la faille, pour ceux qui utilisent Netscape 6.1 ou un navigateur basé sur Mozilla.

Une faille majeure pour Windows... tous les Windows. (11 fév 2004)
Une faille majeure pour Windows 2000 et IIS. (18 mars 2003)
Une faille majeure pour Windows Media Player. (07 mai 2003)
Une nouvelle faille majeure pour Windows. (14 juil 2004)
Deux failles majeures pour Checkpoint. A vos patches ! (05 fév 2004)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.