Nouveaux correctifs pour Mozilla Firefox
Des mises à jour sont désormais disponibles sur le site Mozilla Foundation Security Advisories.
Mozilla vient de publier des mises à jour critiques pour ses navigateurs Firefox 2 et Firefox 3. Ces mises à jour corrigent des vulnérabilités pour les deux versions du navigateur, avec notamment des correctifs de compatibilité et de stabilité.
Firefox 3 a reçu trois correctifs, chacun couvrant des failles jugées critiques par Mozilla. Chacune de ces vulnérabilités permettrait à un pirate d’exécuter du code à distance sur un système.
Le premier correctif ne concerne que les utilisateurs de Mac OS X. La vulnérabilité permet à un pirate de lancer une attaque à partir d’un fichier GIF spécial.
Une image infectée peut être utilisée pour provoquer le plantage de l’application, ce qui exposerait le système à l’exécution de code arbitraire.
Le deuxième correctif concerne une faille au niveau du traitement du code URI (Uniform Resource Identifier), qui permet à des applications externes d’accéder au navigateur.
Le chercheur en sécurité Billy Rios a constaté que le fait d’ajouter certains symboles à un URI pouvait permettre à un pirate de contourner les défenses de Firefox et de lancer d’autres attaques sur le navigateur, notamment les attaques ‘Carpet Bomb’ signalées le mois dernier sur Safari.
Le troisième correctif permet de résoudre une vulnérabilité au niveau du traitement du code Cascading Style Sheet (CSS) sur Firefox, qui permet à un pirate d’utiliser un objet CSS pour provoquer un plantage de l’application et exécuter du code à distance.
La version Firefox 2 du navigateur a également été jugée vulnérable aux attaques CSS et URI, mais n’est pas concernée par la vulnérabilité GIF sur Mac OS X.
Les utilisateurs peuvent télécharger les deux mises à jour sur le site Web Mozilla Foundation Security Advisories.
L’US Computer Emergency Response Team et le groupe de sécurité Sans Institute recommandent aux utilisateurs de Firefox 2 d’installer la nouvelle version du navigateur. Le support technique de l’ancienne version ne sera en effet plus assuré d’ici quelques mois.
Traduction de l’article Firefox gets security tune-up de Vnunet.com en date du 18 juillet 2008