Mozilla s'apprête à combler une faille affectant son navigateur Firefox, découverte il y a neuf mois. La mise à jour 2.0.0.10 devrait être disponible en ligne dans les prochains jours et fera écho au dernier Patch Tuesday de Microsoft dans lequel l'éditeur corrigeait une vulnérabilité liée aux URI. Dans les deux cas, les failles permettaient à une personne malintentionnée d'exécuter du code malicieux à distance. En ce qui concerne plus spécifiquement Firefox, la vulnérabilité touche au protocole jar (Java Archive) qui ne valide pas, lors de l'extraction du code, le type de contenu présent dans l'archive. Par conséquent, un internaute risque de télécharger un fichier sur un site de confiance via le protocole jar: alors que ce dernier renferme du code malicieux. Un code qui pourra être exécuté à l'insu de l'internaute. Il y a quelques jours, le prolifique Britannique Petko Petkov précisait que n'importe quelle application autorisant l'envoi de fichiers jar ou ZIP offrait une porte d'entrée pour ce type d'attaque : « les cibles potentielles incluent les applications comme les Webmails, les outils collaboratifs, les plateformes de partage de documents, presque tout ce qui ressemble au Web 2.0. » Dans la foulée, un autre chercheur, dénommé Bedford, montrait comment cette faille pouvait être exploitée pour récupérer une liste de contacts dans Gmail.
Mozilla va corriger une faille vieille de 9 mois dans Firefox
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire