mercredi 11 juillet 2007
Un exploit de sécurité utilise Internet Explorer pour attaquer Mozilla Firefox
Firefox_User nous a envoyé un lien sur un article de CNET News.com au sujet d’une menace à la sécurité des utilisateurs de Windows avec Mozilla Firefox et Microsoft Internet Explorer installés. Le problème peut permettre à un individu malveillant de piéger Firefox à distance en exécutant du code potentiellement malveillant. Cependant, un utilisateur doit exécuter Internet Explorer pour vraiment être exploité.
Le chercheur en matière de sécurité Thor Larholm a publié une description sur la manière dont la faille de sécurité fonctionne y compris une preuve de concept (quoique certains aient annoncé qu’ils ne peuvent pas la faire marcher). Lorsqu’il est installé sur Windows, Firefox enregistre un gestionnaire de protocole d’URL pour traiter les URL firefoxurl:// (cela fonctionne beaucoup comme un gestionnaire de protocole d’URL http:// ou ftp://). Si un utilisateur de IE visite une page Web qui essaye d’appeler une URL firefoxurl:// (par exemple, utilisant une iframe
), IE lancera Firefox sans sollicitation supplémentaire, en lui passant l’URL. Ni IE ni Firefox n’échappent ou nettoie l’URL, ce qui permet à un individu malveillant d’injecter des paramètres supplémentaires dans la ligne de commande utilisée pour invoquer Firefox. Utilisé dans la combinaison avec le paramètre -chrome, l’attaquant peut faire exécuter du code JavaScript dangereux à Firefox.
Il y a un débat sur le fait de savoir qui est responsable — est-ce IE pour passer des données non sécurisées à une autre application ou Firefox pour ne pas valider l’entrée correctement ? SecurityFocus se réfère au problème comme Microsoft Internet Explorer FirefoxURL Protocol Handler Command Injection Vulnerability, plaçant la responsabilité sur Redmond, tandis que Secunia l’appelle Firefox "firefoxurl" URI Handler Registration Vulnerability, montrant du doigt Mozilla. News.com cite Olivier Friedrichs du Security Response Center de Symantec, qui dit, « c’est un peu tous les deux. »
Sur le blog Mozilla Security officiel, Window Synder de la Mozilla Corporation (qui a eu l’habitude de travailler pour Microsoft) dit qu’une correction sera incluse dans le prochain Firefox 2.0.0.5. Cela a dit, elle semble suggérer qu’elle l’envisage d’être surtout un problème avec IE, notant qu’Apple a corrigé un problème semblable avec Safari récemment. Cependant, selon le blog de sécurité ZDNet Zero Day, Microsoft soutient que le bogue firefoxurl:// « n’est pas une vulnérabilité d’un produit Microsoft ».
Sur son blog, Jesper Johansson (qui a aussi eu l’habitude de travailler pour Microsoft), dit que le faille firefoxurl:// est un problème de Mozilla. Il fournit aussi des instructions pour supprimer l’enregistrement des gestionnaires protocole URL.
Merci à roseman pour certains des liens utilisés dans cet article.
utilisant dans le précédant internet explorer 6 puis au 7 sans même l’avoir vraiment voulu et maintenant à mozilla .
Puis un nouvel anti-virus comme on les nommes et depuis le passage à IE 7 pages de pub non détectées , sans onglet lassant à force .
Puis nouvelle mise à jour , MOZILLA qui me supprima la page IE7 supprima les mises à jours anciennes pour en mettre de nouvelles .
Disparition de mes favoris et tout les sites dit suspects a connection direct ou modules complementaires là bonjour la casse : plus de jeux , plus d’aide windows …?
BON que cela me tienne j’ai supprimé tout les programmes enregistrés , toute les traces d’ancien anti-virus j’en compté trois : symentec , avg , trend-micro et spy-bot (qui n’a jamais voulu analysé peut-être bloqué par anti-spy de yahoo ) . Rien ni a fait , Mais une une chose et sur j’ai toujours ma pub et un éditeur approuvé que l’on supprime et qui revient « électronic-goup » . Qui faut-il croire Microsoft qui publicité ces produits ou renvoie vers des anti-virus aussi incapable que les autres mais qui sont sans aucun doute sponsorisés et ci l’on demande mozilla : renvoié vers des liens car c’est une autre marque.
Demander à Mozilla : …allez sur le foraume !
Et pourtant moi j’ai jamais rien demandé IE6 fonctionné bien
En conclusion Internet Explorer à bien su se défaire du malaise qu’il avait
MICROSOFT propose WINDOWS qui propose INTERNET EXPLORER et QUI PROPOSE MOZILLA ? si ce n’est ceux qui proposent et imposent à la fois.
Peut-être faut-il se tourner vers linux pour avoir quelques jours heureux
j’ai a peu près compris ce que tu disais mais faut-il pour autant dire que les logiciels que tu a utilisé sont inutile?? encore faudrait-il que ton windows avant toute analyse soit sain. En effet il saurait sage de réinstaller dans ton cas ton windows et d’installer d’emblé les logiciel protections (spybot…) bien sur en évitant le plus possible d’installer des logiciel inutile et de bien lire condition d’installation « annexe » des logiciels qui installe en meme temps leur logiciel publicitaire (barre yahoo dans IE, barre google dans IE, etc…). bref prudence dans ces cas.
Pour le passage de IE6 a IE7 ce passage obligé est plutôt …. comment dirais-je… obligé. En effet les navigateur sont la principale interface de menace. En « contact direct » avec des page web il doit pouvoir contré les attaques des page web piégé.
Sinon étant donné qu’internet explorer arrive par un miracle quelconque de lancer firefox il apparaît évident que IE est fautif car c’est le dernier maillon de la chaine qui attaque le client. Firefox lui en demandant a windows d’ouvrir tous les protocole firefoxurl avec firefox est totalement légitime car il fait connaître a windows que firefox gère ce protocole url comme tout autre logiciel qui gère des protocole différent (tftp,éd2k,ssh,http,scp,…).
Dans tous les cas windows qui se défend etre plus sûr que d’autre comme système d’exploitation devrait anticipé ce type de faille. Il serait aussi sage de le reconnaître. A médité.