Mozilla vient de publier des mises à jour critiques pour ses navigateurs Firefox 2 et Firefox 3. Ces mises à jour corrigent des vulnérabilités pour les deux versions du navigateur, avec notamment des correctifs de compatibilité et de stabilité.
Firefox 3 a reçu trois correctifs, chacun couvrant des failles jugées critiques par Mozilla. Chacune de ces vulnérabilités permettrait à un pirate d’exécuter du code à distance sur un système.
Le premier correctif ne concerne que les utilisateurs de Mac OS X. La vulnérabilité permet à un pirate de lancer une attaque à partir d’un fichier GIF spécial.
Une image infectée peut être utilisée pour provoquer le plantage de l’application, ce qui exposerait le système à l’exécution de code arbitraire.
Le deuxième correctif concerne une faille au niveau du traitement du code URI (Uniform Resource Identifier), qui permet à des applications externes d’accéder au navigateur.
Le chercheur en sécurité Billy Rios a constaté que le fait d’ajouter certains symboles à un URI pouvait permettre à un pirate de contourner les défenses de Firefox et de lancer d’autres attaques sur le navigateur, notamment les attaques ‘Carpet Bomb’ signalées le mois dernier sur Safari.
Le troisième correctif permet de résoudre une vulnérabilité au niveau du traitement du code Cascading Style Sheet (CSS) sur Firefox, qui permet à un pirate d’utiliser un objet CSS pour provoquer un plantage de l’application et exécuter du code à distance.
La version Firefox 2 du navigateur a également été jugée vulnérable aux attaques CSS et URI, mais n’est pas concernée par la vulnérabilité GIF sur Mac OS X.
Les utilisateurs peuvent télécharger les deux mises à jour sur le site Web Mozilla Foundation Security Advisories.
L’US Computer Emergency Response Team et le groupe de sécurité Sans Institute recommandent aux utilisateurs de Firefox 2 d’installer la nouvelle version du navigateur. Le support technique de l’ancienne version ne sera en effet plus assuré d’ici quelques mois.
Traduction de l’article Firefox gets security tune-up de Vnunet.com en date du 18 juillet 2008
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…