Firefox + Internet Explorer = faille ?

le 12/07/2007 à 20:20
Firefox + Internet Explorer = faille ?
Selon des chercheurs en sécurité, il semblerait que l'utilisation conjointe sur un même système d'Internet Explorer et de Firefox v2.00 puisse donner lieu à une vulnérabilité à haut risque. Le problème soulevé se produirait en naviguant sur un site malintentionné depuis Internet Explorer, site qui utiliserait l'identifiant de ressource "firefoxurl://" enregistré par Firefox pour interagir avec certaines ressources du web et compromettre ainsi la machine.

Alors que les premiers rapports sur cette faille incriminaient la dernière mise à jour de sécurité d'Internet Explorer, il semblerait qu'au final Internet Explorer et Firefox soit tous les deux coupables. Selon le directeur de sécurité de Symantec, Oliver Friedrichs, les deux applications sont responsables : "Vous avez deux logiciels très complexes qui ne s'entendent pas très bien et peuvent être à l'origine d'un problème de sécurité. Les composants seuls sont sûrs mais pas lorsqu'ils sont ensemble.". Selon le chercheur Thor Larholm, chercheur en sécurité : "Firefox est le vecteur actuel de l'attaque mais Internet Explorer est en cause pour ne pas supprimer certains caractères qu'il passe en ligne de commande.".

Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute. En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.

A lire également

Un spécialiste polonais de la sécurité informatique signalait en début de semaine la découverte de quatre vulnérabilités concernant les navigateurs Internet Explorer (Microsoft) et Firefox (Mozilla) - deux pour chacun des logiciels. Window Snyder, responsable de la sécurité au sein de Firefox, a d'ores et déjà répondu à l'annonce de ces deux failles, en indiquant que les développeurs du logiciel en avaient pris connaissance et que la menace n'était pas jugée élevée. Chez Microsoft, on explique - comme toujours - que les éventuelles vulnérabilités sont à l'étude, et que les mesures adéquates seront rapidement prises si le danger de ces failles potentielles est avéré. On précise toutefois qu'aucune attaque relative à cette annonce n'a encore été constatée.

D'après Michal Zalewski, qui a découvert ces vulnérabilités, la plus sévère pourrait être exploitée pour forcer l'exécution d'un code JavaScript issu d'une première page sur une seconde. Il serait ainsi possible de récupérer les informations contenues dans les cookies de navigation, voire de détourner le contenu d'une page ou de provoquer une corruption de mémoire. Celle-ci affecterait Internet Explorer, versions 6 et 7, même si les dernières mises à jour de sécurité sont installées.

La seconde, en termes d'importance, concerne Firefox. Relative à la gestion des iFrames, elle permettrait à un attaquant d'injecter du contenu en provenance de son propre site sur un site cible afin de procéder par exemple à du vol d'information personnelle. D'après Windows Snyder, il ne serait cependant pas possible d'exécuter du code à distance au moyen de cette faille. Des pirates amateurs de phishing trouveraient toutefois un intérêt certain dans l'exploitation d'une telle vulnérabilité.

La troisième autoriserait quant à elle - sous Firefox - le téléchargement ou l'exécution de fichiers sans le consentement de l'utilisateur, en contournant les opérations de confirmation habituellement requises dans ce genre de cas. Enfin, la quatrième et dernière, qui ne touche qu'Internet Explorer 6, est censée permettre à un pirate d'usurper une URL dans la barre d'adresses du navigateur.
Les utilisateurs de Firefox 2 auront sans doute remarqué ce matin que le module de mise à jour automatique du logiciel leur suggérait l'installation d'une nouvelle mise à jour, estampillée 2.0.0.6. Proposée au téléchargement moins d'un mois après la sortie de la précédente version du navigateur, cette mise à jour vient corriger la faille relative à l'identifiant de ressource "firefoxurl://" découverte mi-juillet. Cet identifiant de ressources (URI, ou Uniform Resource Identifier) est par exemple utilisé par le logiciel pour lancer une application tierce à partir d'un lien placé sur une page Web.

Cette faille a récemment fait l'objet d'une controverse entre Mozilla et Microsoft. Lors de sa découverte, celle-ci impliquait l'utilisation conjointe d'Internet Explorer et de Firefox. Pour l'exploiter, il fallait d'abord charger un lien corrompu dans Internet Explorer, puis envoyer les informations à Firefox, qui se révélait alors susceptible de lancer un logiciel sans le consentement de l'utilisateur. La première réponse de Mozilla fut d'expliquer que seul Internet Explorer était à blamer, mais la fondation est ensuite rapidement revenue sur sa position pour reconnaitre que Firefox était également concerné. D'où cette correction, qui devrait rapidement être portée sur Thunderbird et Seamonkey.

Un rapport de l'US Cert daté du 27 juillet soulève toutefois une nouvelle problématique : cette faille pourrait en effet être inhérente à Windows, à partir du moment où Internet Explorer 7 est installé sur le système. La denrière version du navigateur aurait en effet modifié la façon dont Windows interprète les protocoles d'appel aux applications tierces, telles que la fonction "mailto:" censée ouvrir le client de messagerie. Via cette faille, il serait possible de faire appel à une application autre que celle à laquelle est normalement destiné l'URI.

- Télécharger Firefox

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours