La réactivité de la Fondation Mozilla sans failles

Publié le et mis à jour le
 
La fondation Mozilla vient de corriger une faille critique découverte ce week-end et qui concerne le traitement de la balise "iframe", qui n'est pas suffisamment protégée ce qui peut entraîner l'exécution de code, et d’iconurl (utilisé par la fonction "InstallTrigger.install") qui peut être exploité via une page web ou un mail contenant un code javascript…
Selon FrSIRT :

Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur présente au niveau de la gestion des paramètres "src" (inclus avec un tag "IFRAME") et "iconURL" (utilisé par la fonction "InstallTrigger.install"), qui ne sont pas correctement filtrés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page Web ou un email contenant un code javascript malicieux.


Depuis cette alerte, la fondation Mozilla a fait le nécessaire et l’exploitation de cette faille n’est plus possible car elle a modifié la fonction Install sur son serveur de téléchargement en lui ajoutant des nombres et des chiffres générés aléatoirement. En quelque sorte un ticket, fonction que se dotera prochainement le site pour augmenter sa sécurité.

Comme quoi la réaction de la Fondation Mozilla est sans failles

Pour en savoir un peu plus:
http://www.frsirt.com/bulletins/1192
 
chabot thierry
chabot thierry
Passionné par les ordinateurs depuis son premier PC-1512, il est l'auteur principal des articles concernant Internet, les OS et les moteurs de recherches. Il répond souvent sur les forums avec le pseudonyme Cthierry pour proposer des solutions.

 
 
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu!