mardi 27 juillet 2004

Des failles découvertes dans la gestion des certificats de sécurité et corrigées

CNET News.com rapporte que deux nouvelles failles dans la manière dont Mozilla manipule les certificats de sécurité ont été découvertes. La vulnérabilité la plus sérieuse permet à un site d’apparaître comme ayant un certificat de sécurité quand il n’en a pas (bogue 253121). L’autre trou rend possible pour un attaquant d’écraser les certificats racine de l’autorité de certification, provoquant l’apparition d’un message d’erreur à chaque fois que l’utilisateur essaie d’accéder à un (véritable) site sécurisé (bogue 249004). Les deux bogues ont été corrigés, mais des versions de Mozilla, pour les utilisateurs finals, mises à jour ne sont pas encore disponibles.