samedi 28 février 2004

La vulnérabilité Cross-Site Scripting de Mozilla rapportée et corrigée

Roseman nous a écrit pour nous informer d’une vulnérabilité cross-site scripting dans Mozilla, qui a été découverte et corrigée en décembre de l’année dernière. Une alerte de Secunia classe la faille comme « moins critique », tandis qu’une note de SecurityTracker donne plus de détails précis sur le bogue, qui peut permettre à un site hostile de lire les cookies d’un autre site ou d’accéder à d’autres données récemment transmises par l’utilisateur. Les deux alertes relatent qu’un correctif est disponible dans Mozilla 1.6 bêta, quoique que Secunia se trompe en déclarant que le problème a aussi été retouché dans la version 1.4.2, ce qui a inquiété Roseman car il ne pouvait trouver de lien vers cette version. Ce que Secunia aurait dû indiquer, c’est qu’un correctif pour la faille a été enregistré dans la branche 1.4 et qu’il sera disponible dans Mozilla 1.4.2 lorsque ce dernier sortira.

Le bogue a été traité en accord avec la politique des bogues de sécurité de Mozilla, avec le découvreur Andreas Sandblad écrivant par courriel à security@mozilla.org le 2 décembre et les membres du groupe des bogues de sécurité de Mozilla enregistrant un rapport de bogue confidentiel le jour suivant (bogue 227417). Un correctif a été développé et enregistré à la fois dans le tronc et la branche de référence 1.4 le jour même. Les sites tels que Secunia et SecurityTracker n’ont annoncé la faille qu’après que le rapport de bogue a été ouvert au public mercredi.

Dans cette affaire, la vulnérabilité a été relativement mineure et un correctif a été appliqué avant que l’information ne se soit répandue. Ce n’est pas le cas des problèmes sur lesquels MozillaZine rendrait compte normallement mais nous le faisons afin de répondre aux préoccupations d’utilisateurs inquiets tels que roseman et parce que c’est un cas d’école de l’utilisation correcte de la politique de bogues de sécurité de Mozilla.