au sommaire
Vulnérabilité dans l'interface de Mozilla et Firefox
Le problème réside dans le fait que ces deux navigateurs ne peuvent pas empêcher un site web d'inclure des fichiers XUL de leur choix. Ce type de fichiers peut être exploité pour détourner (hijacking) l'essentiel de l'interface, ceci incluant les barres d'outils, les boîtes de dialogue des certificats SSLSSL, la barre d'adresse...
En effet l'interface utilisateur de Mozilla est construite à partir de fichiers XUL (XML User Interface Language). Une démonstration sans action nocive (Proof of ConceptProof of Concept) a été publiée : elle mime un site sécurisé par SSL de Paypal. Il y a une petite incertitude : le problème est bien confirmé pour les versions LinuxLinux et Windows de Mozilla et Firefox, mais le site qui a publié la démonstration dit qu'elle ne fonctionne qu'avec Firefox.
Ce problème semble être le même que le bugbug Mozilla répertorié sous le numéro 244965. Il n'existe pas de correctif pour cette faille.