Une démonstration de la vulnérabilité sur le blog hiredhacker.com a fini par alerter Mozilla et sa responsable de la sécurité, Window Snyder, qui même si elle a qualifié le risque lié de faible, a toutefois publié un billet au sujet de cette vulnérabilité tout en annonçant que des investigations sont en cours.

La démonstration, quant à elle, montre comment via l’ouverture avec Firefox d’une page Web piégée, il est possible de lire le fichier de configuration globale sous Windows du client mail Thunderbird (un autre programme aurait pu être choisi). Néanmoins, l’exploit nécessite que soit installée une extension (ou module complémentaire) qui n’est pas présente sous la forme d’une archive JAR (fichier à l’extension .jar), ce qui est le cas pour nombre d’entre elles.

Une page Web pourrait ainsi accéder à une URL chrome://, chrome étant le moteur de Firefox dédié à l’interface utilisateur, pour par exemple exécuter une commande afin de charger des images, scripts ou feuilles de style. Si cette URL est encodée avec des caractères du type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les convertir en ../ et à les éliminer, avec pour conséquence qu’ils peuvent être utilisés pour lire des fichiers arbitraires situés dans un répertoire tiers (vis-à-vis de celui qui héberge l’extension).

Avec cette méthode, des attaquants peuvent également vérifier si des programmes spécifiques ou des extensions sont installés et le cas échéant, détecter la présence de vulnérabilités additionnelles.

Parmi les extensions qui permettent l’exploitation de cette vulnérabilité, Mozilla mentionne Donwload Statusbar et sans doute plus connue, Greasemonkey. Suite à sa divulgation, un patch pour Download Statusbar a d’ailleurs été mis en ligne afin d’installer l’extension sous la forme d’une archive JAR.

Le problème de sécurité a été identifié dans le moteur de rendu version 1.8.1.11, utilisé par la dernière version en date de Firefox.