Firefox 2.0 : 9 mois pour accoucher d’un correctif de sécurité Aurélien Cabezon le 22 novembre 2007 à 11h50, dans la rubrique Menaces Commentaires fermés sur Firefox 2.0 : 9 mois pour accoucher d’un correctif de sécurité faille vulnerabilitefirefox mozillajar zippetkov Réputée pour sa réactivité, la Fondation Mozilla aura cette fois-ci pris son temps avant de se décider à combler une vulnérabilité présente dans l’implémentation du protocole jar sous Firefox. Il est vrai qu’il n’y avait pas véritablement urgence, jusqu’à récemment du moins. Alors que Mozilla s’atèle à la tâche pour préparer l’arrivée de Firefox 3.0 dont la première version bêta vient de sortir avec son corollaire de fonctionnalités orientées sécurité, la publication d’une preuve de concept relative à une faille affectant son futur prédécesseur, rappelle la Fondation à ses obligations de maintenance. Ainsi, une mouture 2.0.0.10 du fureteur au panda rouge est programmée pour la semaine prochaine, les tests de la communauté débutant ce vendredi. En début de mois, le désormais célèbre Petko D. Petkov faisait une nouvelle fois parler de lui en alertant Mozilla au sujet d’une vulnérabilité affectant Firefox 2.0 et identifiée depuis le mois de février 2007 . Comme il avait pu le faire en septembre dernier avec Apple pour une vulnérabilité vielle d’un an dans QuickTime, Petkov récidivait dans son rôle de sirène d’alarme pour réveiller les consciences endormies. Ladite vulnérabilité permet à un pirate de mener une attaque par Cross site scripting en dissimulant un code exploit dans un fichier d’ARchive Java (fichier .jar). Le problème provient du fait que le protocole jar tel qu’il est implémenté sous Firefox ne se cantonne pas exclusivement à la manipulation de fichiers .jar, et peut ouvrir des fichiers .zip potentiellement malicieux. Confirmant les dires de Petkov, Mozilla a exposé un scénario selon lequel un attaquant télécharge un fichier au format zip spécialement conçu vers un site de confiance, et incite un utilisateur de Firefox (lien véhiculé par mail par exemple) à charger son contenu via un URI jar:. Firefox autorisant cette manipulation, le contenu est donc chargé depuis un site de confiance et s’exécute dans son contexte; l’attaque par XSS peut avoir lieu mettant en péril les données stockées par l’utilisateur sur le site. Pour cette vulnérabilité, Petkov s’est montré particulièrement préoccupé en estimant que de nombreuses applications sont des cibles toutes trouvées à l’instar des clients Webmail, des systèmes de collaboration et de partage de documents en ligne et tout ce qui s’intègre dans la mouvance du Web 2.0. La suite des évènements lui a donné raison avec la publication d’une POC impliquant Gmail de Google et la possibilité d’un accès frauduleux aux contacts de l’utilisateur. POC oblige, les premiers exploits ne devraient désormais plus tarder à faire leur apparition et c’est pourquoi après 9 mois, Mozilla a finalement décidé de prodiguer son correctif. Firefox 2.0.0.10 ne supportera uniquement que les fichiers servis avec un type MIME correct (application/java-archive) et ajustera par ailleurs le contexte de sécurité afin de reconnaître le dernier site comme la source du contenu (correction d’un bug de redirection relatifs aux fichiers .jar/.zip). Petko D. Petkov est une nouvelle fois parvenu à ses fins. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!