mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

mardi 31 juillet 2007

Mozilla Firefox 2.0.0.6 est sorti

Mozilla Firefox 2.0.0.6 est sorti. Cette mise à niveau du navigateur corrige deux failles de sécurité qui sont détaillées dans la section Firefox 2.0.0.6 de la page des alertes de sécurité de la fondation Mozilla.

La faille la plus sérieuse implique les URL avec des espaces et des doubles guillemets non codés par pourcentage que Firefox passe aux applications auxiliaires, ce qui peut permettre à des pages malveillantes d’ouvrir des programmes avec des paramètres en ligne de commande potentiellement dangereux. L’autre vulnérabilité est un bogue d’élévation de privilèges impliquant les extensions qui a été accidentellement introduit dans Firefox 2.0.0.5.

La faille de manipulation de protocole d’URL est un exploit de catégorie semblable à la vulnérabilité de l’URL firefoxurl:// qui avait été corrigé avec la sortie de Firefox 2.0.0.5. Dans l’exploit firefoxurl:// original, un attaquant pouvait utiliser Microsoft Internet Explorer pour lancer Firefox avec des paramètres malveillants en ligne de commande. Dans la faille corrigée dans Firefox 2.0.0.6, Firefox est utilisé comme vecteur d’attaque pour démarrer d’autres applications avec des arguments dangereux. L’exploit pourrait être étendu pour exécuter n’importe quel programme dans un endroit connu, en passant éventuellement de dangereux paramètres en ligne de commande.

Que ce soit ou non de la responsabilité de Firefox de s’assurer que les données passées aux applications externes soient (relativement) sûres est sujet à discussions. Quand la vulnérabilité d’URL firefoxurl:// originale a été découverte, Microsoft a soutenu qu’IE n’était pas en faute. Cependant, alors que Mozilla soutenait à l’époque que la responsabilité incombait à IE, il aurait été hypocrite de ne pas corriger un problème semblable dans Firefox. Le billet du blog Mozilla Security sur la faille de manipulation de protocole d’URL déclare que « la défense en profondeur est la meilleure façon de protéger les gens » (bien que ce billet dise que seul Windows soit affecté, les analyses du bogue 389106 indique que Linux et Mac OS X pourraient aussi être vulnérables).

Firefox avertit l’utilisateur avant de lancer la plupart des applications auxiliaires et montre les paramètres de ligne de commande, ainsi les utilisateurs de versions vulnérables recevraient un avertissement d’une attaque (bien que seul l’utilisateur avancé sera probablement assez futé pour différencier des lignes de commande sûres et malveillantes). Néanmoins, certains protocoles liés au courriel et aux groupes de discussion (notamment mailto, news, nntp, snews) n’avertissent pas l’utilisateur avant de lancer une application externe, ainsi des applications de courriers et de groupes de discussion vulnérables pourraient être exploitées avec une intervention minimale de l’utilisateur (Thunderbird 2.0.0.4 et précédents est une de ces applications, dû à une variante du problème firefoxurl://).

Plus de détails sur Firefox 2.0.0.6 peuvent être trouvés dans les notes de diffusion de Firefox 2.0.0.6. La nouvelle version peut être téléchargée depuis la page produit de Firefox 2.0.0.6. Les utilisateurs actuels de Firefox 2 avec la fonctionnalité de mise à jour logicielle activée (c’est le cas par défaut) seront invités à mettre à jour. Des versions équivalentes de Thunderbird (2 et 1.5) et SeaMonkey sont attendus sous peu.

^