C'est la première fois qu'un lot de vulnérabilités du navigateur libre se voit attribuer un tel niveau de sévérité. Ces deux failles, exploitées conjointement, permettent de télécharger et de faire exécuter du code malicieux sur les PC. Et des exploits circulent sur le web. Aucun correctif n'est encore disponible, mais l'exploit a été neutralisé côté serveur par la Fondation Mozilla. La majorité des utilisateurs de Firefox est désormais protégée... mais pas tous.

au sommaire


    Première alerte extrêmement critique pour Firefox

    Première alerte extrêmement critique pour Firefox

    C'est une première dont Firefox se serait bien passé : une alerte jugée extrêmement critique par le site SecuniaSecunia. Jusqu'à présent un tel niveau de sévérité était plutôt l'apanage d'Internet Explorer. Mais tout a une fin : Firefox souffre donc de deux failles particulièrement sournoises qui permettent, en les exploitant ensemble, de télécharger et de faire exécuter automatiquement du code sur le PC d'un internaute. Et cela, bien sûr, sans qu'il ne se doute de rien.

    Dans le scénario le plus couramment accepté, l'attaque utilise tout d'abord les mécanismes d'installation des extensions de Firefox (les modules tiers). Par défaut le navigateur n'autorise que les deux sites officiels de la Fondation Mozilla à télécharger de telles extensions. Mais un pirate pourrait tromper le navigateur et lui faire accepter d'installer des extensions en provenance de son propre site web tout en croyant qu'elles viennent des sites officiels. Cela ne serait pas suffisant pour les exécuter, mais le ver serait alors dans la pomme.

    C'est alors que la seconde faille entre en jeu. Elle permet de déclencher l'exécution du code téléchargé précédemment. Cette vulnérabilité se cache dans la validation des icônesicônes, qui ne fait pas la différence entre le Javascript et le reste. En cliquant sur une simple image, il est alors possible de forcer le navigateur à exécuter le code "poussé" sur l'ordinateurordinateur au préalable en lui faisant croire à une extension officielle.

    Des exploits circulent sur Internet pour utiliser ces deux failles. La Fondation Mozilla a réagi en modifiant ses deux serveursserveurs de mise à jour afin qu'ils ne puissent plus être "imités" de la sorte. Cela protège donc les utilisateurs de Firefox qui n'ont pas ajouté d'autres serveurs dans la liste blanche des sites autorisés à offrir des extensions. C'est à dire la grande majorité... mais pas tous !

    Pour les autres, il est nécessaire, en attendant un correctif officiel qui se fait désirer, de désactiver Javascript ou de décocher le bouton d'option qui autorise l'installation d'extensions par les sites autorisés (une précaution à prendre quel que soit le navigateur)