mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.

mercredi 20 octobre 2004

Mozilla et d’autres navigateurs vulnérables à une attaque par imitation dans la navigation par onglets

Secunia a publié une alerte concernant des vulnérabilités d’imitation (spoofing) dans la navigation par onglets dans les séries de navigateurs de Mozilla. Une falsification implique de persuader l’utilisateur d’ouvrir un lien vers un site de confiance dans un nouvel onglet et ensuite d’ouvrir une boîte de saisie en JavaScript qui paraît venir du site de confiance alors qu’elle renvoie en fait ses données au filou. Une autre faille exige de nouveau de l’utilisateur d’ouvrir un lien vers le site de confiance dans un nouvel onglet, bien que cette fois-ci le faussaire utilise le JavaScript pour continuellement ramener le focus vers un champ de formulaire sur la page malicieuse sans entraîner l’onglet actif à basculer depuis le site de confiance. Cela signifie qu’un utilisateur qui essaie d’entrer des données de formulaire sur une page de confiance passera à la place les informations à l’attaquant. Slashdot dispose d’un article sur cette dernière faille par imitation, qui couvre également d’autres failles dans des navigateurs publiées par Secunia aujourd’hui. Selon l’alerte originale de Secunia sur la vulnérabilité par imitation dans la navigation par onglets, la fondation Mozilla a été informée le 4 octobre, il y a seize jours.

Sur un sujet analogue, un fan de Mozilla nous dirige vers de la recherche suggérant que Mozilla peut être facilement planté en se servant de HTML mal formé. D’autre navigateurs sont aussi touchés, à l’exception notable d’Internet Explorer de Microsoft. Encore une fois, Slashdot a couvert le problème du crash par le HTML mal formé. Le développeur Mozilla Doron Rosenberg a quelques commentaires sur l’impact pour la réputation « de sécurité » de Mozilla.

Mise à jour : Dean Tessman nous informe que la faille dans le focus des formulaires dans les onglets (le second problème dans le premier paragraphe) a été corrigé sur la branche Aviary (la branche qui sera utilisée pour les versions 1.0 de Mozilla Firefox et Mozilla Thunderbird) et la branche 1.7 le 6 octobre. Comme le correctif est plus une solution temporaire qu’une véritable solution, il n’a pas été enregistré dans le tronc. Voir le bogue 124750.

^