La réactivité de la Fondation Mozilla sans failles
Publié le
et mis à jour le
Rubrique Software
La fondation Mozilla vient de corriger une faille critique découverte ce week-end et qui concerne le traitement de la balise "iframe", qui n'est pas suffisamment protégée ce qui peut entraîner l'exécution de code, et d’iconurl (utilisé par la fonction "InstallTrigger.install") qui peut être exploité via une page web ou un mail contenant un code javascript…
Selon FrSIRT :
Depuis cette alerte, la fondation Mozilla a fait le nécessaire et l’exploitation de cette faille n’est plus possible car elle a modifié la fonction Install sur son serveur de téléchargement en lui ajoutant des nombres et des chiffres générés aléatoirement. En quelque sorte un ticket, fonction que se dotera prochainement le site pour augmenter sa sécurité.
Comme quoi la réaction de la Fondation Mozilla est sans failles
Pour en savoir un peu plus:
http://www.frsirt.com/bulletins/1192
Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur présente au niveau de la gestion des paramètres "src" (inclus avec un tag "IFRAME") et "iconURL" (utilisé par la fonction "InstallTrigger.install"), qui ne sont pas correctement filtrés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page Web ou un email contenant un code javascript malicieux.
Depuis cette alerte, la fondation Mozilla a fait le nécessaire et l’exploitation de cette faille n’est plus possible car elle a modifié la fonction Install sur son serveur de téléchargement en lui ajoutant des nombres et des chiffres générés aléatoirement. En quelque sorte un ticket, fonction que se dotera prochainement le site pour augmenter sa sécurité.
Comme quoi la réaction de la Fondation Mozilla est sans failles
Pour en savoir un peu plus:
http://www.frsirt.com/bulletins/1192