internet web
Internet - Web - Moteurs
Mozilla : une faille sur Firefox qui permet de voler les mots de passe des utilisateurs 
Firefox 2.0.0.5 et Safari: une faille qui permet de voler les mots de passeFirefox 2.0.0.5 et Safari: une faille qui permet de voler les mots de passe
La dernière version de Firefox de Mozilla serait ainsi affectée par une faille sur le gestionnaire des mots de passe qui permettrait à certains sites Web pirates d’accéder aux noms

D’après un message publié sur la liste de diffusion Full Disclosure (via Seclists.org), des experts auraient détecté une faille sous Firefox de Mozilla.

 

Les dernières versions de Firefox de Mozilla et de Safari seraient ainsi affectées par une faille sur le gestionnaire des mots de passe qui permettrait à certains sites Web pirates d’accéder aux noms d’utilisateur et aux mots de passe stockés.

 



 

Un message a été publié sur la liste de diffusion pour informer de la présence d’un risque de sécurité pour les utilisateurs dont le navigateur de Mozilla est configuré pour mémoriser les mots de passe et sur lequel JavaScript est activé.

 

Il s’agit, selon Heise Security, d’une rémanence d’une faille corrigée en novembre dernier. Elle permet, si elle est exploitée, de voler le mot de passe enregistré d’un utilisateur sur un domaine particulier, mais uniquement si l’enregistrement des mots de passe est justement activé et si le JavaScript est activé.

 

La faille ne peut être exploitée que si un mot de passe (ou plusieurs) est enregistré sur le site malveillant, ce qui limite son impact. C’est pourquoi certains développeurs et observateurs estiment qu’elle ne constitue pas en soi une réelle vulnérabilité dans le navigateur, dans la mesure où cela suppose qu’un pirate propage du code malveillant sur le serveur Web.

 

En parvenant à placer du code de script sur un serveur, un pirate pourrait dans tous les cas manipuler les pages et obtenir d’autres moyens de dérober les données d’accès de l’utilisateur.


Mozilla a corrigé une faille CSS (Cross-Site Scripting) similaire sur son navigateur Firefox en novembre dernier, mais cette dernière était nettement plus sérieuse puisqu’elle ne nécessitait pas l’activation de JavaScript. D’après Heise Security, les développeurs de Mozilla avaient corrigé une faille dans la gestion des mots de passe de Firefox mais la porte reste ouverte pour l’exploitation de cette faille.

 

Si un utilisateur Mozilla donne sa permission, le gestionnaire des mots de passe du navigateur open source enregistre ce mot de passer et garde ces données pour la prochaine visite de l’utilisateur. Cela arrive non seulement sur la page où le mot de passe a été enregistré mais aussi sur toutes les autres pages du serveur qui contiennent un message de demande de mot de passe similaire.

 

Avant la publication d'un correctif, les utilisateurs sont invités à désactiver JavaScript sur leur navigateur et à éviter d’utiliser le gestionnaire de mots de passe sur les sites où ils sont autorisés à publier des pages JavaScript.


Comme d’habitude, il existe plusieurs solutions de fortune pour patienter, le temps que la fondation Mozilla, qui travaille avec heise Security, corrige le problème.

 

Il est possible de désactiver le JavaScript, ce qui évidemment n’ira pas sans causer des problèmes sur un nombre important de sites. L’autre solution, plus « conventionnelle », consiste à faire attention où l’on met les pieds.



Voir aussi :
 - Le Newcastle United est sur la piste de Kieran Trippier
 - L’Inter Milan veut aider Luka Jović à quitter les Merengues

Retrouvez aussi :
 - Toutes les actualités du jour
 - Toutes les actualités sur ce thème



Mentions légales | Nous contacter | Qui sommes-nous ? |  Flux RSS
Chiffres-clé | Environnement Webmasters | Recommander ce site
Nos Partenaires | Liens divers sur Internet | Jeux vidéos


  Communiqués de presse Vous souhaitez nous communiquer vos actualités, nouveaux produits, manifestations,..., en matière d’informatique, de matériels high-tech, d'avancées scientifiques, …, envoyez-nous vos communiqués de presse.

Publicité


Nos flux RSS Vous souhaitez intégrer nos flux sur votre site Internet pour apporter des actualités à vos visiteurs, alors n'hésitez plus...

Tous nos flux RSS ici !


Découvrez les principaux sites du Portail-environnement











Et bien plus encore...Portail-Environnement




© RecyConsult / 2010 - Enregistré à la CNIL n°893989
  recyconsult.png, 2 kB Tous droits de reproduction et de représentation réservés. Toutes les informations reproduites sur cette page (contenus, photos, logos,...) sont soumises à des droits de propriété intellectuelle détenus par RECYCONSULT. Aucune de ces informations ne peut être reproduite, modifiée, transmise, rediffusée, traduite, vendue, exploitée commercialement ou réutilisée sans l'accord de RECYCONSULT. A visiter : un appartement au coeur de la nature avec Location vacances à Sète pour des vacances et de l'environnement. A voir aussi le site Portail des Associations, le site gratuit pour la création des sites Internet des associations françaises !
Les sites du réseau
Portail-environnement.com
Actualités
Agenda
Annuaires
Bourse
Boutique
Dictionnaire
Données
Dossiers tech.
Emploi / Stage
Enfants
Formations
Forum
Librairie
Management SME
Management SMI
Management SMSST
Réglementation
Vidéos
recherche