Vulnérabilités
Firefox : patchez !
Par Jerome Saiz, le 03 juin 2006 à 11:48:00.
Le navigateur libre est victime d'une nouvelle série de failles, dont certaines sont jugées "hautement critique". Leur exploitation permettrait, pour la plupart, de faciliter des attaques de type cross site scripting, mais aussi l'exécution de code Javascript avec des droits élevés. Ces vulnérabilités touchent Javascript, XUL, le décodage UTF8 et d'autres encore. La version 1.5.0.4 vient corriger tout cela.
La nouvelle volée de vulnérabilités découverte au coeur de Firefox est surtout remarquable par sa diversité. Elle touche de très nombreux composants du système, qui n'ont souvent pas grand chose à voir l'un avec l'autre, de Javascript à la lecture des certificats numériques, en passant par la gestion des réponses HTTP. Cela rend l'alerte plus cryptique que d'habitude : comment tous ces composants pourront-ils être exploités ? Quel sera l'impact ?
La majorité de ces failles pourront être exploitées pour faciliter l'exécution de code Javascript sur l'ordinateur à la visite de sites malicieux... ou pas ! Car certaines de ces vulnérabilités permettent la mise en oeuvre d'attaques de cross-site scripting (forcer le navigateur à exécuter, depuis un site de confiance, un code malicieux provenant d'un autre site ou d'un autre visiteur).
A notre connaissance, aucune de ces vulnérabilités n'a encore été exploitée sur Internet. La version 1.5.0.4 du navigateur libre corrige désormais tous ces défauts, et il s'agit d'une mise à jour fortement conseillée à tous les utilisateurs. D'ailleurs, pour les adeptes des dernières versions de Firefox, une alerte a déjà du rappeler qu'une mise à jour est disponible...
Plus d'information
- L'alerte sur le site de la Fondation Mozilla (en anglais)
- L'alerte du CERT (en anglais)
- L'alerte sur le site de Secunia (en anglais)
- Télécharger la version 1.5.0.4 de Firefox (en français)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
