Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox victime d'une faille de sécurité ouverte par Windows Update
Microsoft reconnait qu'un plug-in pour .NET est concerné

Le , par Gordon Fowler

0PARTAGES

1  0 
Le scandale n'est pas loin.

En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.

A tel point que Firefox l'a bloqué :



Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.

Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.

Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.

Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.

De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?

Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.

Sources :

Le billet du Security & Research Defense et les deux correctifs de Microsoft.

Lire aussi :

Les rubriques Sécurité, Développement Web et .NET de Développez.com

Firefox : la page de détection des plug-ins périmés officiellement lancée
Les concurrents de Microsoft pensent qu'il utilisera Windows Update pour tenter de favoriser Internet Explorer

Et vous ? :

Pensez-vous que Microsoft a volontairement ouvert une brèche dans Firefox ?
Que penser de l'utilisation de Windows Update lorsque celui-ci modifie un programme tiers ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de neo.51
Expert éminent https://www.developpez.com
Le 19/10/2009 à 9:57
Je crois surtout que ce qui avait bien énervé mozilla c'est que le plugin s'installe automatiquement sans prévenir l'utilisateur.

En gros en schématisant microsoft à quand même installé une faille de sécurité sur firfox sans prévenir ni l'utilisateur ni mozilla. Je comprends qu'il l'aient un peu mauvaise
1  0 
Avatar de DoubleU
Membre expérimenté https://www.developpez.com
Le 19/10/2009 à 10:56
Pris en flagrant délit là...

La fondation Mozilla a bien fait d'en rajouter
1  0 
Avatar de entreprise38
Inactif https://www.developpez.com
Le 19/10/2009 à 13:18
Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
=> Carton rouge pour Microsoft ET Mozilla.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 19/10/2009 à 14:24
Citation Envoyé par entreprise38
Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
=> Carton rouge pour Microsoft ET Mozilla.
Au contraire, Firefox fait déjà ça depuis la version 3.0. Je ne crois pas que les autres navigateurs le fassent.

Ceci dit ça ne vaut que pour les applications installée normalement, Si une application malicieuse veut installer une modification furtivement, il n'y a techniquement aucune solution 100% efficace pour l'en empêcher, à partir du moment ou l'installeur à les droits nécessaires.
1  0 
Avatar de entreprise38
Inactif https://www.developpez.com
Le 19/10/2009 à 18:23
Je parlais des plugins, donc des applis qui ne sont pas installées "normalement".

Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
Ne pas avertir l'utilisateur qu'un truc a été installé sur son navigateur, c'est moyen (pour un browser qui se veut au service de ses utilisateurs). Et l'excuse du "les autres n'en font pas autant" n'est pas valable.
Si en plus on ne peut même pas désactiver/désinstaller ça facilement, c'est trèèèèès moyen (les choses ont peut être évolué de ce côté là).
1  0 
Avatar de bountykiler
Membre régulier https://www.developpez.com
Le 19/10/2009 à 22:49
J'ai eu le message pas plus tard qur ce matin, j'avoue m'etre posé la question de ou pouvait bien provenir le plugin qui posait problème. Au moins comme cela, j'ai la réponse.
Mais c'est clair que Micorsoft qui installe des plugins sans prévenir, c'est pas normal. Le minimum serait de pouvoir au moment de l'installation désactiver cela.

entreprise38 > Mon avis est que le fautif dans l'histoire est bien Microsoft. Après tout, c'est pas la faute à Mozilla si des applis tiers (Microsoftienne ou autre) installent des plugins sans prévenir.
1  0 
Avatar de entreprise38
Inactif https://www.developpez.com
Le 19/10/2009 à 23:46
Dans ce quoi pourquoi se focaliser sur Crosoft ?
Adobe fait pareil avec Flash et Shockwave depuis bien plus longtemps - failles fournies ^^, et j'en passe...
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 20/10/2009 à 0:12
Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
Justement c'est ce qui est fait depuis la version 3.0 de firefox. Enfin pour les plugins de type extension, les plugins classique de type flash/JVM, n'ont pas de système de contrôle des version(Cela devrait arriver avec la version 3.6)

Par contre, je doute que se soit crypté car ça ne servirait à rien. Le cryptage n'a jamais été une solution valable empêcher l'accès a des données locales comme les mots de passes, historiques, etc. parcequ'il faut bien que la clé de décryptage soit accessible en local pour que le navigateur puisse décrypter ces infos. Autrement, on serait bon pour saisir un mot de passe maitre à chaque démarrage de l'application .
Il faut être conscient qu'il est impossible d'empêcher une application malveillante de faire ce qu'elle veux a partir du moment ou elle a les droits nécessaires. Au mieux, on peut juste lui compliquer un peu la tache.
1  0 
Avatar de entreprise38
Inactif https://www.developpez.com
Le 20/10/2009 à 0:33
Justement, les applis de Crosoft & co ne sont pas ce qu'on pourrait appeler des logiciels malveillants
Ce qui me gène le plus, c'est le manque de contrôle de la part de Mozilla Firefox - on perd le contrôle de son navigateur, et ça, ça craint du boudin.
1  0 
Avatar de Federico_muy_bien
Membre habitué https://www.developpez.com
Le 20/10/2009 à 9:31
Baaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
(Attention loin de moi l'idée d'ouvrir un troll !!!)

Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!
2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!

Donc la faute entiére à Microsoft !!!!!!
1  0