IE et Firefox : partage de faille
Thor Larholm explique comment les passages de paramètres entre Internet Explorer et Firefox peuvent favoriser le développement d'une attaque « inter-navigateurs » (XBS ?). Les détails techniques sont fournis sur le site de Larholm et mis en applications par Billy Ryo. L'exploit utilise un passage de paramètres non validés lors du « passage de main » entre I.E. et Firefox. Il semble en outre que ce « bug » ne concerne que la toute dernière version de Firefox 2.0 (une fois n'est pas coutume, la mise à jour n'est donc pas conseillée, mais les automatismes rendent ce conseil inutile). Bien qu'exotique, cette faille ne concerne que les usagers utilisant les deux navigateurs... en d'autres termes, une frange assez vaste des utilisateurs de Windows. Le défaut est considéré comme « hautement critique » par Secunia. Le premier exploit proposé par Ryos ouvre directement une fenêtre en mode commande. Qui, d'I.E. ou de Firefox est le plus coupable, l'un pour expédier un paramètre dangereux sans le contrôler, l'autre pour l'accepter et l'exécuter sans broncher ? Voilà une question bien stérile comme aiment à se poser les experts en reverse engineering... et les journalistes en mal de copie. En attendant un correctif, ce bug browser nous regarde.