Passez sur notre nouveau site : http://www.donnemoilinfo.com
Passez sur notre nouveau site : http://www.donnemoilinfo.com
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.


 
 
AccueilDernières imagesRechercherS'enregistrerConnexionPlan
Ce forum n'est plus mis à jour, passez sur notre site http://www.donnemoilinfo.com/ Pour des raisons de confidentialité tous les comptes ont été supprimés.
Le Deal du moment :
Code promo Nike : -25% dès 50€ ...
Voir le deal

 

 Faille : Vulnérabilité sous Firefox (màj)

Aller en bas 
AuteurMessage
boule
Membre aide
Membre aide



Masculin
OS : XP
Navigateur : opera

Pays : Faille : Vulnérabilité sous Firefox (màj) Achat_11
Messages postés : 8781
Votes reçus : 164

Faille : Vulnérabilité sous Firefox (màj) Empty
MessageSujet: Faille : Vulnérabilité sous Firefox (màj)   Faille : Vulnérabilité sous Firefox (màj) EmptyVen 25 Jan 2008, 02:12

Ce 24.01.2008
Pour fêter les 30% de part de marché, un cadeau : une faille


Une vulnérabilité de type directory transversal dans Firefox peut permettre à des pages Web spécialement conçues de lire des informations confidentielles sur la machine d'un utilisateur.

Une démonstration de la vulnérabilité sur le blog hiredhacker.com a fini par alerter Mozilla et sa responsable de la sécurité, Window Snyder, qui même si elle a qualifié le risque lié de faible, a toutefois publié un billet au sujet de cette vulnérabilité tout en annonçant que des investigations sont en cours. Faille : Vulnérabilité sous Firefox (màj) Detectiv

La démonstration, quant à elle, montre comment via l'ouverture avec Firefox d'une page Web piégée, il est possible de lire le fichier de configuration globale sous Windows du client mail Thunderbird (un autre programme aurait pu être choisi). Néanmoins, l'exploit nécessite que soit installée une extension (ou module complémentaire) qui n'est pas présente sous la forme d'une archive JAR (fichier à l'extension .jar), ce qui est le cas pour nombre d'entre elles.

Faille : Vulnérabilité sous Firefox (màj) Firefox-logo

Une page Web pourrait ainsi accéder à une URL chrome://, chrome étant le moteur de Firefox dédié à l'interface utilisateur, pour par exemple exécuter une commande afin de charger des images, scripts ou feuilles de style. Si cette URL est encodée avec des caractères du type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les convertir en ../ et à les éliminer, avec pour conséquence qu'ils peuvent être utilisés pour lire des fichiers arbitraires situés dans un répertoire tiers (vis-à-vis de celui qui héberge l'extension).

Avec cette méthode, des attaquants peuvent également vérifier si des programmes spécifiques ou des extensions sont installés et le cas échéant, détecter la présence de vulnérabilités additionnelles.

Parmi les extensions qui permettent l'exploitation de cette vulnérabilité, Mozilla mentionne Donwload Statusbar et sans doute plus connue, Greasemonkey. Suite à sa divulgation, un patch pour Download Statusbar a d'ailleurs été mis en ligne afin d'installer l'extension sous la forme d'une archive JAR.

Le problème de sécurité a été identifié dans le moteur de rendu version 1.8.1.11, utilisé par la dernière version en date de Firefox.


Source : Vulnerabilite
Revenir en haut Aller en bas
http://www.donnemoilinfo.com
boule
Membre aide
Membre aide



Masculin
OS : XP
Navigateur : opera

Pays : Faille : Vulnérabilité sous Firefox (màj) Achat_11
Messages postés : 8781
Votes reçus : 164

Faille : Vulnérabilité sous Firefox (màj) Empty
MessageSujet: Re: Faille : Vulnérabilité sous Firefox (màj)   Faille : Vulnérabilité sous Firefox (màj) EmptyVen 08 Fév 2008, 07:10

Ce 07.02.2008
Faille corrigée :ah:

Arrow Téléchager Firefox 2.0.0.12 ou depuis votre navigateur
Revenir en haut Aller en bas
http://www.donnemoilinfo.com
 
Faille : Vulnérabilité sous Firefox (màj)
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Faille : Correction d'une faille importante sous Vista

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Anciens sujets-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser