Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox
Pour disposer d'un correctif à une faille de sécurité critique

Le , par Stéphane le calme

0PARTAGES

6  0 
Jeudi dernier, la Fondation Mozilla a confirmé la présence d’une vulnérabilité catégorisée comme étant critique dans son navigateur découverte par un utilisateur. « Le chercheur en sécurité Code Crews a signalé un moyen de violer la Same Origine Policy et d’injecter un script dans une partie non-privilégiée de PDF Viewer. Cela permettrait à un attaquant de lire et voler des données locales sensibles depuis l’ordinateur de la victime. Mozilla a reçu des rapports indiquant qu’un exploit basé sur cette vulnérabilité a été trouvé ». Pour rappel, Same Origin Policy est un mécanisme qui renforce la séparation de contexte JavaScript.

Une annonce sur un site de presse en Russie dont le nom n’a pas été dévoilé a été en mesure de se servir de la vulnérabilité pour télécharger certains fichiers depuis l'ordinateur d'un utilisateur pour les envoyer vers un serveur vraisemblablement basé en Ukraine. L’attaque, qui a exploitée le PDF Viewer de Firefox ainsi que le fait qu’il fait appel au code JavaScript, semblent s’être focalisée sur des « documents centrés développeur » comme l’a expliqué dans un billet Daniel Veditz, responsable sécurité chez Mozilla.

« Les fichiers visée par l’attaque étaient bizarrement centrés développeurs pour un exploit lancé sur un site de presse avec une audience large publique, même si, bien sûr, nous ne savons pas où a encore été déployée la publicité malveillante. Sur Windows, l’exploit recherchait les fichiers de configuration de subversion, s3browser et FileZilla, des informations sur les comptes .purple et Psi+ ainsi que les fichiers de configuration de sites depuis huit différents clients FTP populaires ». Sur Linux, l’exploit recherchait les configurations globales habituelles comme /etc/passwd et a également cherché les configurations fichiers et clés .ssh, .bash_history, .mysql_history, .pgsql_history, les configurations fichiers pour FileZilla et Psi+, les fichiers texte comportant « pass » et « access » dans leurs noms, et tous les scripts shell. Il y a également une variante sur Mac qui recherche pratiquement les mêmes types de fichiers que sur Linux.

« L’exploit ne laisse pas de trace de son exécution en local sur une machine. Si vous utilisez Firefox sur Windows ou Linux, il serait prudent de modifier tous les mots de passe et clés qui se trouvent dans les fichiers mentionnés en sus dans le cas où vous vous servez des programmes cités. Les personnes qui se servent des logiciels de blocage de publicité peuvent avoir été protégées contre cet exploit en fonction du logiciel et des filtres spécifiques qui ont été utilisés », a-t-il avancé.

Mozilla a publié un correctif et insiste sur le fait que les utilisateurs mettent à jour leur navigateur vers Firefox 39.0.3 mais également vers Firefox ESR 38.1.1. Les versions du navigateur qui ne contiennent pas PDF Viewer, comme Firefox pour Android, ne sont pas affectées par cette vulnérabilité dans la sécurité.

Source : blog Mozilla, Mozilla

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 11/08/2015 à 5:38
Sur Linux, l’exploit recherchait les configurations globales habituelles comme /etc/passwd et a également cherché les configurations fichiers et clés .ssh
Les clés ssh récupérées, ça fait mal
Go mettre à jour.
0  0 
Avatar de domi65
Membre confirmé https://www.developpez.com
Le 14/08/2015 à 10:57
Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox
Pas besoin, il se met à jour tout seul. Ils devraient le savoir !
0  0 
Avatar de Watilin
Expert éminent https://www.developpez.com
Le 14/08/2015 à 14:42
Citation Envoyé par Stéphane le calme Voir le message
Les personnes qui se servent des logiciels de blocage de publicité peuvent avoir été protégées contre cet exploit
NoScript for the win!
0  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 14/08/2015 à 19:23
Citation Envoyé par domi65 Voir le message
Pas besoin, il se met à jour tout seul. Ils devraient le savoir !
Les utilisateurs linux Linux utilisent généralement le gestionnaire de paquet de l'OS pour les mises à jour.
0  0 
Avatar de tes49
Membre confirmé https://www.developpez.com
Le 16/08/2015 à 13:06
Salut

Citation Envoyé par Watilin Voir le message
NoScript for the win!
Et sous Linux...

The exploit leaves no trace it has been run on the local machine. If you use Firefox on Windows or Linux...
Citation Envoyé par domi65 Voir le message
Pas besoin, il se met à jour tout seul. Ils devraient le savoir !
Ils le savent mais en théorie ce n'est vrai que pour seulement pour une majorité d'utilisateurs... bien des utilisateurs désactivent la mise à jour de Firefox.
0  0