Firefox : plusieurs failles de sécurités

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Firefox : plusieurs failles de sécurités

par Malekal_morte »

source : http://www.frsirt.com/bulletins/12104
Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox et Seamonkey, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou compromettre un système vulnérable.

Le premier problème résulte d'erreurs présentes aux niveaux de plusieurs moteurs (e.g. JavaScript) qui ne gèrent pas correctement certaines données malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.

La seconde faille est due à une erreur présente au niveau du traitement de certains événements onUnload, ce qui pourrait être exploité par des sites web malveillants afin de conduire des attaques par hameçonnage.

La troisième vulnérabilité se situe au niveau du traitement de requêtes HTTP contenant des données d'authentification malformées, ce qui pourrait être exploité par des attaquants afin d'injecter des entêtes HTTP arbitraires.

La quatrième faille est due à une erreur présente au niveau de la gestion des contrôleurs de chargement de fichiers, ce qui pourrait être exploité par des attaquants afin de charger des fichiers arbitraires depuis un système vulnérable vers un site malveillant.

La cinquième vulnérabilité est due à une erreur de conception présente au niveau de l'affichage d'une page XUL ML, ce qui pourrait être exploité par des sites web malveillants afin de masquer le titre d'une fenêtre web et conduire des attaques par hameçonnage.

La sixième faille résulte d'une erreur présente au niveau du traitement d'une adresse "smb:" ou "sftp:" sous un système Linux avec gnome-vfs, ce qui pourrait être exploité par des attaquants afin de lire certains fichiers depuis un système vulnérable.

Le dernier problème résulte d'une erreur présente au niveau du traitement d'un objet "Script", ce qui pourrait être exploité par des pages web malveillantes afin de modifier XPCNativeWrappers et exécuter un code arbitraire avec les privilèges de l'utilisateur connecté.

Versions Vulnérables

Mozilla Firefox versions antérieures à 2.0.0.8
Mozilla SeaMonkey versions antérieures à 1.1.5

Solution

Installer Mozilla Firefox version 2.0.0.8 :
http://www.mozilla.com/firefox/

Installer Mozilla SeaMonkey version 1.1.5 :
http://www.mozilla.org/projects/seamonkey/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
VertigO

Re: Firefox : plusieurs failles de sécurités

par VertigO »

Salut,
Solution

Installer Mozilla Firefox version 2.0.0.8 :
http://www.mozilla.com/firefox/
Oui, mais attention car depuis aujourd'hui: http://www.mozilla-europe.org/fr/produc ... easenotes/
à cause de http://developer.mozilla.org/devnews/in ... e-updated/
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Re: Firefox : plusieurs failles de sécurités

par Malekal_morte »

Merci pour l'info!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Re: Firefox : plusieurs failles de sécurités

par Malekal_morte »

Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox et Seamonkey, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, causer un déni de service ou compromettre un système vulnérable.

Le premier problème résulte d'erreurs de corruption de mémoire présentes au niveau du traitement de données malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web malicieuse. Aucun détail technique n'a été révélé.

La seconde vulnérabilité est causée par une erreur présente au niveau de la gestion de la propriété "window.location", ce qui pourrait être exploité afin de conduire des attaques de type CSRF (conduct cross-site request forgery).

La troisième faille se situe au niveau du gestionnaire de protocole "jar:". Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2007-3818

Solution

Installer Mozilla Firefox version 2.0.0.10 :

http://www.mozilla.com/firefox/

Installer Mozilla SeaMonkey version 1.1.7 :

http://www.mozilla.org/projects/seamonkey/
source : http://www.frsirt.com/bulletins/12563/solution
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
constantine

Re: Firefox : plusieurs failles de sécurités

par constantine »

Le chercheur en sécurité Aviv Raff, découvreur de failles émérite qui avait révélé l'existence de la première vulnérabilité affectant le navigateur Safari d'Apple pour Windows quelques heures seulement après son lancement, fait encore parler de lui en ce début d'année. Selon Raff, c'est cette fois-ci le fureteur de Mozilla qui est victime d'une vulnérabilité de type spoofing. Via l'exploitation de cette dernière, un attaquant peut mener des attaques par phishing et leurrer un utilisateur afin qu'il saisisse ses identifiants dans une boîte de dialogue faussement légitime.

Lors d'une consultation, quand un serveur Web retourne un code 401 et l'en-tête WWW-Authenticate pour préciser le schéma d'authentification et la zone pour laquelle cette autorisation est nécessaire, Firefox affiche une boîte dialogue destinée à recueillir le nom d'utilisateur et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm de l'entête WWW-Authenticate qui sert à identifier le domaine de protection, est nécessaire et ce dernier sera affiché dans la boîte de dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm qui dans certains cas n'est pas correctement traité et toujours d'après Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de dialogue malicieuse demandant la saisie d'identifiants en se revendiquant d'un site de confiance.

S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration du problème. Dans le cadre d'un scénario typique d'attaque, un pirate crée une page Web avec un lien renvoyant vers un site de confiance comme un site bancaire, un webmail. Lorsque la victime clique sur le lien, la page sûre est ouverte dans une nouvelle fenêtre et un script est exécuté pour rediriger cette fenêtre vers le serveur Web de l'attaquant qui va retourner la boite de dialogue spécialement conçue évoquée précédemment, et apparemment liée au site pour l'utilisateur.

Cette vulnérabilité critique affecte la dernière version 2.0.0.11 de Firefox et probablement les versions antérieures. D'autres produits de la Fondation Mozilla sont également susceptibles d'être affectés. Pour éviter toute déconvenue et dans l'attente d'un correctif de sécurité, Aviv Raff recommande tout simplement de ne pas fournir son nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.
source: vulnerabilite.com

et toujours aucunes nouvelles d'un correctif PDT_037
Avatar de l’utilisateur
grimposaure
Messages : 3111
Inscription : 02 sept. 2007 17:31
Localisation : Sur un rocher...

Re: Firefox : plusieurs failles de sécurités

par grimposaure »

http://www.zataz.com/news/16463/faille- ... refox.html

Citation:
Massacre à la tronçonneuse dans le petite monde des utilisateurs de Firefox. Il est conseillé de virer l'ensemble des extensions.

Découverte le 19 janvier dernier par Gerry Eisenhaur, une faille hautement critique de Firefox a été confirmée par la fondation Mozilla le 22 janvier dernier. La faille exploite les extensions de ce navigateur et plus précisément un bug qui permet de charger un code malicieux sous forme de javascript. Ensuite, il devient assez simple de récupérer les cookies, l'historique de navigation et autres informations sessions. Exploitable avec une série d'extensions qui sont référencées sur le site de Mozilla. Mise à jour obligatoire ... quand cette dernière sera proposée. En attendant, retirez les extensions que vous utilisez !
Sacles

Re: Firefox : plusieurs failles de sécurités

par Sacles »

Bonjour,

Extraits de la source du message précédent:

"La faille exploite les extensions de ce navigateur [...]"

"Exploitable avec une série d'extensions qui sont référencées sur le site de Mozilla."

Certains ne font pas encore la distinction entre "les" et "des". Ils auraient dû noter: "La faille exploite des extensions de ce navigateur [...].

De plus, le titre est aussi racoleur puisqu'il ne s'agit pas de toutes les extensions et qu'il est largement excessif (il faudrait aussi apprendre au rédacteur à maîtriser ses expressions, sensationnel rime rarement avec information correcte et objective).

En plus d'être racoleur, il est faux: NON il ne faut pas virer toutes vos extensions.

Voici donc la liste des extensions concernées: https://bugzilla.mozilla.org/attachment.cgi?id=300181

Raison de plus pour ne pas installer n'importe quelle extension.

Salut
géto21

Re: Firefox : plusieurs failles de sécurités

par géto21 »

Bonjour grimposaure et Sacles,

Grosses différence entre "des" et "les", la sémantique ici prend toute son importance !

Je voudrais juste ajouter : lorsque vous rapportez une information, il serait judicieux de la mettre en citation par Copier/Coller, afin qu'elle ne soit pas transformée ni interprétée. Et en dessous vous pouvez y apporter votre commentaire perso.
Sacles

Re: Firefox : plusieurs failles de sécurités

par Sacles »

Re,
Je voudrais juste ajouter : lorsque vous rapportez une information, il serait judicieux de la mettre en citation par Copier/Coller, afin qu'elle ne soit pas transformée ni interprétée.
C'est ce que j'ai fait.

Salut.
géto21

Re: Firefox : plusieurs failles de sécurités

par géto21 »

Re Sacles,

excuse moi d'avoir été imprécis, je faisais cette remarque de façon générale et elle ne s'adressait pas à ton topic (qui lui est une correction importante, apportée à l'information),mais à celui de notre Ami grimposaure.
Sacles

Re: Firefox : plusieurs failles de sécurités

par Sacles »

Re,

Pas de problème :niquel: mais, croyant que cela s'adressait à moi, je souhaitais que tu me donnes des précisions.

Salut.
Avatar de l’utilisateur
Topxm
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Firefox : plusieurs failles de sécurités

par Topxm »

Salut,

Du coup FireFox nous envoie une petite mise à jour

Image
Image
Avatar de l’utilisateur
grimposaure
Messages : 3111
Inscription : 02 sept. 2007 17:31
Localisation : Sur un rocher...

Re: Firefox : plusieurs failles de sécurités

par grimposaure »

Mea Culpa, j'ai fait un copier-coller, je pensais que le petit article (précédé d'ailleurs de "citation") était tiré directement du lien cité au dessus. J'avoue ne pas avoir vérifié, c'est un tort.
Pour la peine, je ne vais rien faire de plus aujourd'hui au boulot.
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: Firefox : plusieurs failles de sécurités

par michte »

Salut,

MAJ de Firefox: 2.0.0.13

Date de publication : 25 mars 2008
Mise à jour de sécurité et de stabilité.
Ces failles de sécurité ont été réparées:

MFSA 2008-19 XUL popup spoofing variant (cross-tab popups)
MFSA 2008-18 Java socket connection to any local port via LiveConnect
MFSA 2008-17 Privacy issue with SSL Client Authentication
MFSA 2008-16 HTTP Referrer spoofing with malformed URLs
MFSA 2008-15 Crashes with evidence of memory corruption (rv:1.8.1.13)
MFSA 2008-14 JavaScript privilege escalation and arbitrary code execution

A+
"La terre nous est prêtée par nos enfants"
constantine

Re: Firefox : plusieurs failles de sécurités

par constantine »

ok, merci
les MAJ sont faites...
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »