mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.

dimanche 8 mai 2005

Faille de sécurité d’exécution de code arbitraire dans Mozilla

Une faille de sécurité qui permet à un site malveillant d’exécuter du code arbitraire sur le système d’un utilisateur a été découverte dans Mozilla Firefox. Secunia a probablement l’une des descriptions les plus précises et concises de la vulnérabilité d’exécution de code. Il semble être la première faille « extrêmement critique » de Firefox répertoriée par Secunia.

L’alerte explique qu’une attaque réussie implique d’exploiter deux failles : l’une nécessite de ruser pour amener Firefox à penser qu’une installation de logiciel est déclenchée par un site en liste blanche, alors que l’autre se fonde sur le déclencheur d’installation de logiciels qui ne vérifie pas suffisamment les URL d’icônes contenant du code JavaScript. L’alerte de Secunia suggère de désactiver le JavaScript comme solution de contournement ; cependant, simplement désactiver l’installation des logiciels (Panneau Fonctionnalités Web de la fenêtre Options/Préférences dans Firefox 1.0.3 ou le panneau Content dans les dernières compilations du tronc) élimine le problème. Nous avons appris qu’un changement fait à Mozilla Update a rendu la vulnérabilité efficacement inexploitable si vous avez seulement update.mozilla.org et addons.mozilla.org dans votre liste blanche d’installation de logiciels (accessible depuis les panneaux Fonctionnalités Web ou Content dans la fenêtre Options/Préférences), ce qui est la configuration par défaut.

La vulnérabilité a été découverte par Paul du Greyhats Security Group et Michael « mikx » Krax. Paul a écrit une explication technique détaillée de la façon dont l’exploit fonctionne. Sur une page particulièrement fabriquée, l’attaquant emploie d’abord des cadres et une faille JavaScript de l’historique pour faire qu’il semble qu’une installation de logiciel est déclenchée depuis addons.update.mozilla.org, un des quelques sites autorisés par défaut à installer des logiciels. Avec cet obstacle écarté, l’attaquant peut essayer de faire de réels dommages. Un des paramètres transmis au procédé d’installation de logiciels est une URL d’icône, qui peut être un morceau de code de JavaScript. Comme le JavaScript est exécuté depuis le chrome (l’interface utilisateur du navigateur plutôt que d’une page Web), il a les « pleins privilèges du chrome » et peut faire tout ce que l’utilisateur faisant fonctionner Firefox peut faire. L’attaquant peut donc transmettre du JavaScript malveillant et exécuter du code sur le système de la victime.

La vulnérabilité exige de l’attaquant de déclencher une installation qui semble venir d’un site en liste blanche. Heureusement, la fondation Mozilla contrôle tous les sites de la liste blanche d’installation de logiciels par défaut, ce qui leur a permis de prendre des mesures préventives en plaçant plus de contrôles dans le code côté serveur de Mozilla Update et déplaçant le site de mise à jour vers un autre domaine. Nous croyons que ceci signifie que les utilisateurs qui n’ont ajouté aucun site supplémentaire à leur liste blanche d’installation de logiciels ne sont plus en danger.

Paul et Mikx ont rapporté la vulnérabilité à la fondation Mozilla et bogue 292691 a été enregistré lundi 2 mai. En conformité avec la politique de bogues de sécurité de Mozilla, l’accès au rapport de bogue a été limité aux membres de l’équipe de sécurité. Cependant, quelqu’un d’autre a fait la découverte et a laissé fuir les détails de l’exploit. Le French Security Incident Response Team (FrSIRT) a été une des premières compagnies de sécurité à publier une alerte basée sur l’information divulguée. Dans un message à la liste d’expédition Full Disclosure, Paul a critiqué l’individu qui a divulgué les détails de l’exploit d’exécution de code dans Firefox, condamnant ses actions comme « inconsidérées » et « irresponsables ». Depuis que l’exploit a été porté à la connaissance du public, plusieurs rapports de bogue en double ont été enregistrés, y compris le bogue 293302.

Nous prévoyons que la fondation Mozilla sortira une mise à jour 1.0.4 de Firefox sous peu.

Mise à jour : La fondation Mozilla a publié une alerte de sécurité. Elle dit : « La fondation Mozilla a connaissance de deux vulnérabilités potentiellement critiques pour Firefox, comme publié samedi 7 mai. Il n’y a actuellement aucune utilisation connue de ces vulnérabilités bien qu’une  »proof of concept « a été signalée. Des changements ont été effectués sur le service Mozilla Update pour limiter les risques d’utilisation. Mozilla travaille d’arrache-pied pour fournir une solution plus complète à ces vulnérabilités potentielles et fournira cette solution dans le cadre d’une prochaine mise à jour de sécurité. Les utilisateurs peuvent en plus se protéger eux-mêmes aujourd’hui en désactivant temporairement le JavaScript. »

Mise à jour : La fondation Mozilla a publié l’alerte de sécurité de Mozilla Foundation 2005-42, son communiqué officiel sur la vulnérabilité d’exécution de code arbitraire. La solution de contournement officielle est de désactiver le JavaScript.

NDT : L’article de MozillaZine du 9 mai « More Details on Arbitrary Code Execution Vulnerability » sera bientôt traduit.

^