Mozilla Firefox passe en version 2.0.0.7

Firefox vient de passer en version 2.0.0.7. Cette nouvelle version corrige une vulnérabilité jugée critique. Elle présente en effet un vecteur d’exécution de code à distance sur la machine cible avec les privilèges de l’administrateur. « Cela pourrait être utilisé pour installer des agents malveillants, pour voler des données locales, ou encore compromettre l’ordinateur de la victime« , rapporte Mozilla dans son avis de sécurité 2007-28 (MFSA 2007-28).

Découverte par Petko D. Petkov, cette faille de sécurité est liée à la gestion des liens vers les contenus QuickTime. Il est ainsi possible de lancer Firefox en ligne de commande avec des options arbitraires. Une correction précédente de juillet (MFSA 2007-23) avait déjà été apportée pour prévenir ce type d’attaque. Mais l’éditeur estime que « QuickTime charge le navigateur d’une façon inattendue qui permet de contourner le correctif« .

En prévention, les développeurs de Mozilla ont préféré désactiver la possibilité de lancer du code arbitraire en mode ligne de commande. Avis aux bêta-testeur de Firefox 3, la Fondation souligne que cette mise à jour de sécurité n’a pas été portée sur Gran Paradiso Alpha 8. Les utilisateurs de Firefox 2.x devraient recevoir automatiquement une notification de mise à jour dans les 24 heures à 48 heures. Pour des raisons de sécurité, Mozilla conseille vivement aux utilisateurs des versions précédentes (1.x et 1.5x) de passer à la version 2.x.