Faille hautement critique : Firefox 2.0 et Internet Explorer ne font pas bon ménage - 13 juillet 2007 - 19:20 (Par Etienne Jean de la Perle)

Faille hautement critique : Firefox 2.0 et Internet Explorer ne font pas bon ménage

Des pages web Firefox combinées à des pages web Internet Explorer sur le même bureau provoquent une faille « hautement critique » selon les chercheurs en sécurité Internet. Les utilisateurs de ces navigateurs pourraient être confrontés à un risque « hautement critique » s’ils font fonctionner à la fois Internet Explorer et Firefox version 2.0 sur leur ordinateur.

Mardi, le spécialiste en sécurité Thor Larholm, attribuait le problème à Internet Explorer alors que le directeur de la technologie de Secunia, Thomas Kristensen, pensait au contraire que Firefox version 2.0 (out toute autre version de Firefox supérieure à 2.0) était responsable.

« C’est un peu de la faute des deux » tranchait Oliver Friedrichs, directeur du Centre de réponse sécuritaire de Symantec. « Vous avez deux applications très complexes qui ne s’entendent pas et qui quand elles sont utilisées ensemble débouchent sur des problèmes de sécurité. Les composants eux-mêmes sont sécurisés en tant que produits individuels mais pas quand ils sont utilisés ensemble ».

Le nombre de personnes qui pourraient être confrontés à ce risque « hautement critique » de sécurité pourrait bien être assez important selon différentes sources.

Cette faille touche l’URI « firefoxurl:// » et la manière dont on peut l’utiliser. Dans le cadre de Firefox, l’installation du navigateur enregistre dans la base de registre de Windows l’URI « firefoxurl:// ». Cela sert en fait à appeler une instance du navigateur depuis une autre application. Puisque l’URI peut servir à préciser certains paramètres, comme par exemple « -chrome », on obtient une solution relativement complète pour appeler Firefox en dehors de son utilisation de base. On parle alors d’une « invocation » du navigateur, accompagnée d’une série de paramètres.

Et ce sont ces paramètres qui coincent lorsqu’on utilise à la fois Internet Explorer et Firefox, notamment ceux qui font appel au paramètre « -chrome ». Il est en effet possible d’introduire dans l’URI un code JavaScript qui s’exécutera alors de manière totalement arbitraire dans le navigateur. Ainsi, une page web malveillante, spécialement conçue pour l’occasion pourrait exploiter la faille depuis un autre navigateur comme Internet Explorer.

La faille est effective sur la version Firefox 2.0.0.4 du navigateur, et fonctionne sur un système Windows XP Service Pack 2. Selon Secunia, d’autres versions du navigateur et d’autres systèmes pourraient être touchées. En attendant une solution par Mozilla, la société de sécurité recommande de faire attention aux sites visités. Selon PC Advisor, Microsoft a indiqué ne pas être en tort, tandis que les développeurs de Mozilla ont réagi en précisant que le comportement de la gestion des URI serait modifié dans la prochaine mise à jour du navigateur.

Retrouvez toutes les actualités de l'Internet, de l'informatique, des sciences du jour

---

Mentions légales | Nous contacter | Qui sommes-nous ? |  Flux RSS
Chiffres-clé | Recommander ce site | Partenaires | Liens divers Internet