Jeudi dernier, la Fondation Mozilla a confirmé la présence d’une vulnérabilité catégorisée comme étant critique dans son navigateur découverte par un utilisateur. « Le chercheur en sécurité Code Crews a signalé un moyen de violer la Same Origine Policy et d’injecter un script dans une partie non-privilégiée de PDF Viewer. Cela permettrait à un attaquant de lire et voler des données locales sensibles depuis l’ordinateur de la victime. Mozilla a reçu des rapports indiquant qu’un exploit basé sur cette vulnérabilité a été trouvé ». Pour rappel, Same Origin Policy est un mécanisme qui renforce la séparation de contexte JavaScript.Une annonce sur un site de presse en Russie dont le nom n’a pas été dévoilé a été en mesure de se servir de la vulnérabilité pour télécharger certains fichiers depuis l'ordinateur d'un utilisateur pour les envoyer vers un serveur vraisemblablement basé en Ukraine. L’attaque, qui a exploitée le PDF Viewer de Firefox ainsi que le fait qu’il fait appel au code JavaScript, semblent s’être focalisée sur des « documents centrés développeur » comme l’a expliqué dans un billet Daniel Veditz, responsable sécurité chez Mozilla.
« Les fichiers visée par l’attaque étaient bizarrement centrés développeurs pour un exploit lancé sur un site de presse avec une audience large publique, même si, bien sûr, nous ne savons pas où a encore été déployée la publicité malveillante. Sur Windows, l’exploit recherchait les fichiers de configuration de subversion, s3browser et FileZilla, des informations sur les comptes .purple et Psi+ ainsi que les fichiers de configuration de sites depuis huit différents clients FTP populaires ». Sur Linux, l’exploit recherchait les configurations globales habituelles comme /etc/passwd et a également cherché les configurations fichiers et clés .ssh, .bash_history, .mysql_history, .pgsql_history, les configurations fichiers pour FileZilla et Psi+, les fichiers texte comportant « pass » et « access » dans leurs noms, et tous les scripts shell. Il y a également une variante sur Mac qui recherche pratiquement les mêmes types de fichiers que sur Linux.
« L’exploit ne laisse pas de trace de son exécution en local sur une machine. Si vous utilisez Firefox sur Windows ou Linux, il serait prudent de modifier tous les mots de passe et clés qui se trouvent dans les fichiers mentionnés en sus dans le cas où vous vous servez des programmes cités. Les personnes qui se servent des logiciels de blocage de publicité peuvent avoir été protégées contre cet exploit en fonction du logiciel et des filtres spécifiques qui ont été utilisés », a-t-il avancé.
Mozilla a publié un correctif et insiste sur le fait que les utilisateurs mettent à jour leur navigateur vers Firefox 39.0.3 mais également vers Firefox ESR 38.1.1. Les versions du navigateur qui ne contiennent pas PDF Viewer, comme Firefox pour Android, ne sont pas affectées par cette vulnérabilité dans la sécurité.
Source : blog Mozilla, Mozilla
Envoyé par Stéphane le calme
