Le bug a été découvert mardi par le vendeur de solutions de sécurité Norman, lequel a détecté la faille après avoir analysé un code d'attaque subrepticement installé sur le site du Prix Nobel de la paix. « Les personnes qui se sont connectées avec les versions 3.5 ou 3.6 de Firefox sur le site Internet du Prix Nobel de la Paix mardi matin, alors que l'attaque était active, sont susceptibles d'avoir été infectées par des logiciels malveillants. Ceux-ci ont pu être installés sur l'ordinateur de l'utilisateur sans déclencher de message d'alerte, » a fait savoir Norman dans un communiqué.
Mozilla a confirmé que l'attaque exploitait une faille non corrigée du navigateur. De même, l'éditeur a dit avoir été alerté par «plusieurs chercheurs en sécurité appartenant à différentes entreprises » du fait que ce code d'attaque était utilisé sur lnternet. « Nous avons diagnostiqué le problème et nous sommes en train de développer un correctif qui sera livré aux utilisateurs de Firefox dès que le patch aura subi les tests adéquats, » a indiqué Mozilla sur son blog.
Désactiver le JavaScript en attendant le patch
Mozilla a déclaré que le bug affectait les versions 3.5 et 3.6 de Firefox, sur toutes les plates-formes supportées - Windows, Linux et Mac OS X. Selon Norman, compte tenu de la cible, l'attaque vise plutôt la plateforme Windows. Celle-ci installe un cheval de Troie qui peut ensuite être utilisé par les pirates pour télécharger des malwares sur l'ordinateur de la victime et pour en prendre le contrôle. Pour l'instant, il ne semble pas que l'attaque soit de grande ampleur. « La vulnérabilité semble avoir été utilisée pour une attaque ciblée et pour le moment Symantec n'a pas observé d'autre cas où la faille avait été exploitée, » a déclaré un porte-parole de l'éditeur.
En attendant le correctif, les utilisateurs peuvent se protéger contre cette attaque en désactivant le JavaScript dans Firefox (la case à décocher se trouve dans le menu Préférences, onglet Contenu) ou installer l'add-on NoScript, comme le conseille Mozilla.