Près des trois-quarts des vulnérabilités affectant la version 3.6 de Firefox ont été jugées «critiques». C'est le niveau de menace le plus élevé dans le classement de Mozilla, indiquant que des pirates peuvent exploiter ces failles pour altérer un système ou introduire des programmes malveillants sur un ordinateur où Firefox est utilisé. Quant aux autres failles, deux sont classées comme représentant une menace «élevée» et les deux dernières sont qualifiées respectivement de «modérée» et «faible».
Quatre des vulnérabilités avaient été signalées à Mozilla par un important chasseur de bug : le programme commercial Zero Day Initiative (ZDI) de HP-TippingPoint. Une autre a été identifiée et communiquée aux développeurs de Mozilla par David Huang et Collin Jackson du CyLab de la Carnegie Mellon University (Silicon Valley). Elle pouvait être utilisée pour contourner certains mécanismes de défenses dans le Cross-Site Scripting (XSS) et injecter du code JavaScript malveillant dans une page Web. Les deux chercheurs ont récemment publié, avec un troisième collègue, un article sur les intrusions liées au XSS, un sujet qui a fait la une la semaine dernière quand un ingénieur en sécurité informatique de Google a montré comment des pirates pouvaient s'introduire dans un compte Twitter en ciblant Internet Explorer de Microsoft. Mais, sans doute que le correctif le plus notable parmi les 15 est celui qui répare la faille de détournement de DLL, faisant de Firefox le premier navigateur Internet à corriger ce bug.
Une faille ciblée
Le mois dernier, HD Moore, chef de la sécurité chez Rapid7, avait indiqué que plusieurs dizaines de programmes Windows étaient pollués par ce qu'il appelle des bibliothèques de code - autrement nommées "bibliothèques de liens dynamiques", ou "DLL." Celles-ci, qui utilsent un nom de fichier comme référence au lieu d'un chemin d'accès complet, offrent aux pirates un moyen facile de prendre le contrôle d'un PC en faisant simplement charger un fichier malveillant portant le même nom que celui d'un fichier DLL propre. D'autres chercheurs ont estimé après lui que plus de 200 programmes différents pouvaient être détournés, notamment Firefox et les navigateurs de Google, Opera et Apple, lequel a livré un patch pour Safari le même jour où Mozilla a sorti la version 3.6.9 de Firefox.
Selon Mozilla, avant la dernière mise à jour, seul une version de Firefox tournant sous Windows XP était vulnérable aux attaques visant à détourner les DLL. «Les utilisateurs de Firefox sur Vista ... et versions suivantes, n'étaient pas exposés à cette attaque parce que la bibliothèque dwmapi.dll présente dans Vista et les versions ultérieures est chargée en priorité par Firefox avant que le navigateur ne tente de charger la DLL infectée », indique le communiqué de Mozilla qui crédite les éléments du chercheur en sécurité Haifei Li de Fortinet sur le bug. Celui-ci a déclaré de son côté avoir signalé la vulnérabilité à Firefox, et à six autres éditeurs le 10 juillet dernier. Egalement inclus dans la mise à jour de sécurité, on trouve le support pour les options X-Frames - Firefox est le dernier des grands navigateurs à l'intégrer - un nouvel en-tête de réponse HTTP que les sites peuvent utiliser pour contrecarrer les détournements de clic ou « clickjacking ».
Les utilisateurs peuvent mettre à jour leur navigateur Firefox en téléchargeant la nouvelle version 3.6.9 ou en choisissant « Rechercher des mises à jour » dans le menu Aide du navigateur. Les utilisateurs de la version 3.5 de Firefox peuvent obtenir la version corrigée 3.5.12 via l'outil de mise à jour intégré.
Mozilla corrige le bug de détournement de DLL dans Firefox
Mozilla a réparé 15 vulnérabilités dans Firefox, dont 11 jugées critiques. L'un des correctifs concerne le problème de détournement de DLL identifié dans les applications Windows et rendu publique il y a trois semaines.