Selon des chercheurs en sécurité, il semblerait que l'utilisation conjointe sur un même système d'Internet Explorer et de Firefox v2.00 puisse donner lieu à une vulnérabilité à haut risque. Le problème soulevé se produirait en naviguant sur un site malintentionné depuis Internet Explorer, site qui utiliserait l'identifiant de ressource "firefoxurl://" enregistré par Firefox pour interagir avec certaines ressources du web et compromettre ainsi la machine.
Alors que les premiers rapports sur cette faille incriminaient la dernière mise à jour de sécurité d'Internet Explorer, il semblerait qu'au final Internet Explorer et Firefox soit tous les deux coupables. Selon le directeur de sécurité de Symantec, Oliver Friedrichs, les deux applications sont responsables : "Vous avez deux logiciels très complexes qui ne s'entendent pas très bien et peuvent être à l'origine d'un problème de sécurité. Les composants seuls sont sûrs mais pas lorsqu'ils sont ensemble.". Selon le chercheur Thor Larholm, chercheur en sécurité : "Firefox est le vecteur actuel de l'attaque mais Internet Explorer est en cause pour ne pas supprimer certains caractères qu'il passe en ligne de commande.".
Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute. En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.
Alors que les premiers rapports sur cette faille incriminaient la dernière mise à jour de sécurité d'Internet Explorer, il semblerait qu'au final Internet Explorer et Firefox soit tous les deux coupables. Selon le directeur de sécurité de Symantec, Oliver Friedrichs, les deux applications sont responsables : "Vous avez deux logiciels très complexes qui ne s'entendent pas très bien et peuvent être à l'origine d'un problème de sécurité. Les composants seuls sont sûrs mais pas lorsqu'ils sont ensemble.". Selon le chercheur Thor Larholm, chercheur en sécurité : "Firefox est le vecteur actuel de l'attaque mais Internet Explorer est en cause pour ne pas supprimer certains caractères qu'il passe en ligne de commande.".
Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute. En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.
-
Auteur
