Quatre failles pour Internet Explorer et Firefox ?

le 06/06/2007 à 21:38
Quatre failles pour Internet Explorer et Firefox ?
Un spécialiste polonais de la sécurité informatique signalait en début de semaine la découverte de quatre vulnérabilités concernant les navigateurs Internet Explorer (Microsoft) et Firefox (Mozilla) - deux pour chacun des logiciels. Window Snyder, responsable de la sécurité au sein de Firefox, a d'ores et déjà répondu à l'annonce de ces deux failles, en indiquant que les développeurs du logiciel en avaient pris connaissance et que la menace n'était pas jugée élevée. Chez Microsoft, on explique - comme toujours - que les éventuelles vulnérabilités sont à l'étude, et que les mesures adéquates seront rapidement prises si le danger de ces failles potentielles est avéré. On précise toutefois qu'aucune attaque relative à cette annonce n'a encore été constatée.

D'après Michal Zalewski, qui a découvert ces vulnérabilités, la plus sévère pourrait être exploitée pour forcer l'exécution d'un code JavaScript issu d'une première page sur une seconde. Il serait ainsi possible de récupérer les informations contenues dans les cookies de navigation, voire de détourner le contenu d'une page ou de provoquer une corruption de mémoire. Celle-ci affecterait Internet Explorer, versions 6 et 7, même si les dernières mises à jour de sécurité sont installées.

La seconde, en termes d'importance, concerne Firefox. Relative à la gestion des iFrames, elle permettrait à un attaquant d'injecter du contenu en provenance de son propre site sur un site cible afin de procéder par exemple à du vol d'information personnelle. D'après Windows Snyder, il ne serait cependant pas possible d'exécuter du code à distance au moyen de cette faille. Des pirates amateurs de phishing trouveraient toutefois un intérêt certain dans l'exploitation d'une telle vulnérabilité.

La troisième autoriserait quant à elle - sous Firefox - le téléchargement ou l'exécution de fichiers sans le consentement de l'utilisateur, en contournant les opérations de confirmation habituellement requises dans ce genre de cas. Enfin, la quatrième et dernière, qui ne touche qu'Internet Explorer 6, est censée permettre à un pirate d'usurper une URL dans la barre d'adresses du navigateur.

A lire également

La fondation Mozilla a publié vendredi une mise à jour de sécurité pour son navigateur vedette, dont la dernière version en date devient donc Firefox 3.0.8. Cette nouvelle mouture n'apporte aucune nouvelle fonctionnalité, mais vient corriger deux failles de sécurité qualifiées de critiques. C'est l'une de ces deux vulnérabilités qui a récemment permis à un hacker de mettre à mal les navigateurs Internet Explorer, Safari et Firefox, lors de la conférence Pwn2Own.

La seconde, révélée le 25 mars sur un site bien connu des initiés, était susceptible de permettre à un attaquant d'exécuter du code à distance sur la machine d'un utilisateur, via l'intégration d'un code XSL (eXtensible StyleSheet Language) spécialement conçu à une page Web.

Suite à l'exploit de "Nils" lors de l'événement Pwn2Own, la fondation Mozilla avait promis qu'un correctif serait publié avant le 1er avril. C'est finalement avec quatre jours d'avance que la nouvelle version a été mise en ligne, pour la plus grande joie de la communauté open source, fière de démontrer ainsi l'efficacité et la réactivité de son modèle de développement.

Les utilisateurs de Firefox ont normalement déjà dû se voir proposer cette mise à jour par le biais de leur navigateur.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours