Alors que Mozilla s’atèle à la tâche pour préparer l’arrivée de Firefox 3.0 dont la première version bêta vient de sortir avec son corollaire de fonctionnalités orientées sécurité, la publication d’une preuve de concept relative à une faille affectant son futur prédécesseur, rappelle la Fondation à ses obligations de maintenance. Ainsi, une mouture 2.0.0.10 du fureteur au panda rouge est programmée pour la semaine prochaine, les tests de la communauté débutant ce vendredi.

En début de mois, le désormais célèbre Petko D. Petkov faisait une nouvelle fois parler de lui en alertant Mozilla au sujet d’une vulnérabilité affectant Firefox 2.0 et identifiée depuis le mois de février 2007 . Comme il avait pu le faire en septembre dernier avec Apple pour une vulnérabilité vielle d’un an dans QuickTime, Petkov récidivait dans son rôle de sirène d’alarme pour réveiller les consciences endormies.

Ladite vulnérabilité permet à un pirate de mener une attaque par Cross site scripting en dissimulant un code exploit dans un fichier d’ARchive Java (fichier .jar). Le problème provient du fait que le protocole jar tel qu’il est implémenté sous Firefox ne se cantonne pas exclusivement à la manipulation de fichiers .jar, et peut ouvrir des fichiers .zip potentiellement malicieux. Confirmant les dires de Petkov, Mozilla a exposé un scénario selon lequel un attaquant télécharge un fichier au format zip spécialement conçu vers un site de confiance, et incite un utilisateur de Firefox (lien véhiculé par mail par exemple) à charger son contenu via un URI jar:. Firefox autorisant cette manipulation, le contenu est donc chargé depuis un site de confiance et s’exécute dans son contexte; l’attaque par XSS peut avoir lieu mettant en péril les données stockées par l’utilisateur sur le site.

Pour cette vulnérabilité, Petkov s’est montré particulièrement préoccupé en estimant que de nombreuses applications sont des cibles toutes trouvées à l’instar des clients Webmail, des systèmes de collaboration et de partage de documents en ligne et tout ce qui s’intègre dans la mouvance du Web 2.0. La suite des évènements lui a donné raison avec la publication d’une POC impliquant Gmail de Google et la possibilité d’un accès frauduleux aux contacts de l’utilisateur.

POC oblige, les premiers exploits ne devraient désormais plus tarder à faire leur apparition et c’est pourquoi après 9 mois, Mozilla a finalement décidé de prodiguer son correctif. Firefox 2.0.0.10 ne supportera uniquement que les fichiers servis avec un type MIME correct (application/java-archive) et ajustera par ailleurs le contexte de sécurité afin de reconnaître le dernier site comme la source du contenu (correction d’un bug de redirection relatifs aux fichiers .jar/.zip).

Petko D. Petkov est une nouvelle fois parvenu à ses fins.