Au mois de février dernier, Microsoft découvrait une faille dans le traitement de certaines requêtes XML par Internet Explorer. Cela permettait à n’importe quel site web de consulter le disque dur des internautes vulnérables, à condition de pouvoir localiser les fichiers visés sur le système de la victime. Aujourd’hui, la même faille est découverte dans exactement le même composant (XMLHttpRequest), mais sur Mozilla cette fois-ci. Et elle est bien plus grave : tous les fichiers sont exposés, et l’intrus peut naviguer dans le disque dur de sa victime ! (Démonstration).Pire : Mozilla, en plus d’être lui-même un navigateur Open Source, et aussi le coeur de nombreux autres navigateurs, dont Netscape, Galeon ou Skipstone. Tous sont très présents sur de nombreuses plates-formes, dont le Macintosh, Linux, FreeBSD et de nombreux autres Unix libres ou assimilés.Toutes les versions de Mozilla de la 0.9.7 à la 0.9.9 sont vulnérables, ainsi que Netscape 6.1 et plus. Et si la très médiatique version 1.0 de Mozilla, disponible depuis peu, n’est pas touchée, ce n’est que « grâce » à une erreur de programmation qui rend inutilisable le composant XMLHttpRequest.Aucun correctif ne semble disponible à l’heure actuelle, et il est conseillé d’utiliser un autre navigateur en attendant la providentielle rustine.Plus d’information :Le site officiel de Mozilla .Une démonstration de la faille, pour ceux qui utilisent Netscape 6.1 ou un navigateur basé sur Mozilla.