au sommaire
Vulnérabilité critique : Mozilla, Firefox et Thunderbird touchés
Le 7 juillet une vulnérabilité affectant tous les navigateurs basés sur le moteur GeckoGecko (Mozilla, Firefox et le lecteur de courrier Thunderbird) a été signalée dans la liste de diffusiondiffusion Full disclosure.
Elle a été confirmée par le groupe de sécurité de Mozilla. Elle réside dans la possibilité d'exploiter le protocole shell qui pourrait être utilisé pour lancer sous Windows des exécutables éventuellement malveillants. Il serait même possible par ce biais de tirer parti de vulnérabilités propres à Windows, comme un bufferbuffer overflow présent au niveau du fichier WINDOWSSystem32grpconv.exe, qui ne gère pas correctement les longs noms de fichiers ".grp".
Mozilla propose deux solutions possibles : soit télécharger un patch qui inactive le protocole shell, soit le téléchargement de la version 1.7.1 (attention, ne pas confondre avec la 1.7 disponible depuis peu). Pour Firefox prendre la version 0.9.2 et pour Thunderbird, la version 0.7.2.
La faille n'affecte que les versions Windows et ne concerne ni les versions Mac ni les versions LinuxLinux.
Les informations en anglais et le patch (indépendant de la langue) sont disponibles sur le site de Mozilla.