mardi 20 septembre 2005

Faille de sécurité d’analyse d’URL de la ligne de commande pour Mozilla sur Linux rapportée

Une vulnérabilité critique de sécurité de validation d’entrée affectant les versions Linux de Mozilla Firefox et la suite Mozilla a été rapportée aujourd’hui. La faille pourrait permettre à un attaquant d’exécuter diverses commandes sur le système d’une victime. Le bogue existe dans les scripts du shell Linux dont Firefox et la suite Mozilla dépendent pour analyser les URL fournies à la ligne de commande ou par des programmes externes. Si l’URL fournie contient des commandes Linux insérées entre des backticks, celles-ci seront exécutées avant que Firefox ou la suite Mozilla essaye d’ouvrir l’URL. Des variables telles que $HOME seront aussi interprétées.

Bien que cette faille ne puisse pas être exploitée exclusivement dans Firefox ou la suite Mozilla eux-mêmes, un attaquant pourrait tirer profit de la vulnérabilité en dupant une victime en la faisant suivre un lien hostile dans un programme externe (disons un client de messagerie ou une application de messagerie instantanée) sur un système Linux où Firefox ou la suite Mozilla est le navigateur par défaut.

Par exemple, considérez un utilisateur Linux qui utilise Firefox comme son navigateur Web par défaut et Mozilla Thunderbird comme son client de messagerie par défaut. Un attaquant a pu envoyer un courriel à cet utilisateur contenant un lien vers http://local`find`host. Quand l’utilisateur clique sur ce lien dans Thunderbird, le script shell d’analyse des URL de Firefox sera appelé et exécutera la commande find avant d’appeler Firefox pour ouvrir l’URL. Les utilisateurs peuvent éviter cette vulnérabilité en ne suivant par les liens des programmes externes, en particulier les liens suspects trouvés dans les courriels, messages instantanés ou conversations de chat.

Une solution à cette faille a été développée et sera incluse dans les prochaines versions de Firefox 1.0.7 et Mozilla 1.7.12. Le weblog d’assurance qualité de Mozilla a un lien vers une compilation d’une version candidate de Firefox 1.0.7 avec le correctif et quelques instructions de tests. Firefox 1.0.7 et Mozilla 1.7.12 ont été déjà planifiés pour corriger quelques autres failles de sécurité et de stabilité (en particulier, la vulnérabilité récemment publiée du dépassement de mémoire tampon pour les liens IDN).

La faille d’analyse d’URL de Linux a été rapportée par Peter Zelezny, qui a rempli le bogue 307185 aujourd’hui. Secunia a pubié un bulletin sur la question intitulé Firefox Command Line URL Shell Command Injection, qui évalue le bogue comme « extrêmement critique ». Le bulletin sur la faille de FrSIRT, Mozilla Firefox Command Line URL Parsing Code Execution Issue, évalue également le problème comme « critique », la plus élevée de ses quatre estimations. La note de Security Focus, Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability, a une liste plus complète de systèmes affectés. Merci à Roseman et à Juha-Matti Laurio pour les liens des bulletins.

Mise à jour : Peter Zelezny a rempli le bogue 307185 mardi 6 septembre, pas mardi 20 septembre comme indiqué ci-dessus. Merci à Juha-Matti Laurio pour la correction.