Mise à jour : la fondation Mozilla propose un patch temporaire disponible ici (ou là) qui désactive la fonctionnalité IDN (International Domain Names : domaines utilisant des jeux de caractères locaux). Une prochaine version de FireFox devrait être bientôt proposée au téléchargement avec l'IDN réactivée.

au sommaire


    Firefox vulnérable façon Internet Explorer : alerte critique - MAJ

    Firefox vulnérable façon Internet Explorer : alerte critique - MAJ

    Plutôt sérieuse, la dernière vulnérabilité à frapper le navigateur libre permettrait la prise de contrôle à distance du PC à la seule visite d'un site malicieux. Elle concerne la version la plus récente du butineur (1.0.6) et probablement aussi certaines versions précédentes et la suite Mozilla. Aucun correctif n'est disponible à ce jour.

    Firefox ne fait pas que grignoter des parts de marché à Internet Explorer. Il récupère aussi à l'occasion une belle faille de sécurité, une de celles que l'on a plutôt l'habitude de voir du côté du butineur de MicrosoftMicrosoft. Aujourd'hui, c'est l'interprétation des noms d'URL qui est montrée du doigt : il suffirait d'un simple caractère particulier (0xAD) dans un chemin web pour mettre Firefox à genoux. Premier effet : un crash du navigateur. Mais en exploitant la vulnérabilité avec un peu plus de doigté il serait apparemment possible de prendre le contrôle du PC, et l'affaire devient tout de suite plus inquiétante. À tel point que le site SecuniaSecunia considère cette vulnérabilité comme "hautement critique" (quasiment son niveau le plus élevé). Et cela même s'il semble que la faille ne soit pas encore exploitée malicieusement, ni même qu'un quelconque code de démonstration ne circule librement.

    La vulnérabilité n'a été démontrée qu'avec la dernière version de Firefox (1.0.6 pour Windows et LinuxLinux, et 1.5 beta) mais il y a de bonnes chances que les précédentes soient aussi vulnérables. Et selon au moins un commentateur, la suite Mozilla serait également vulnérable, bien que l'alerte officielle n'en fasse pas état.

    Rapportée à la fondation Mozilla le 4 septembre, aucune nouvelle version n'est encore venu corriger la boulette à ce jour. La seule protection consiste donc à surveiller ses clics ou changer de navigateur. Ça tombe bien, Opera était gratuit la semaine dernière !