jeudi 19 juillet 2007

Trou de sécurité en chaîne de Internet Explorer vers Firefox: bouché d'un côté

Le Mozilla Security Blog a annoncé, le 10 juillet 2007 dernier, la découverte par Secunia d'une faille de sécurité exploitant un problème de manipulation d'URL dans Windows.
Pour ceux qui n'ont pas suivi l'affaire, l'article explicatif de Linux Insider vous éclairera rapidement sur le sujet: L'utilisateur utilisant Windows (en tout cas XP SP2) et surfant en utilisant Internet Explorer, un code malicieux peut exploiter une faille dans celui-ci pour lancer un autre programme windows, dans ce cas précis il s'agit de Firefox, tout en lui passant l'URL. C'est donc ainsi que l'éxécution d'un code malicieux pouvait se faire via Firefox!

Si aucun patch n'a été annoncé du côté d'Internet Explorer pour protéger les utilisateurs, les développeurs de Firefox ont immédiatement annoncé qu'ils travaillaient pour combler cette faille de sécurité et sortiront Firefox 2.0.0.5, sortie annoncée hier 18 juillet 2007 donc, accompagné d'explications supplémentaires.

Comme d'habitude, la liste des bogues et autres failles comblés dans cette version se trouve sur le site recensant les vulnérabilités des logiciels Mozillas ainsi que les versions qui les rectifient.

Si vous utilisez windows, vous devez absolument et très rapidement mettre à jour pour Firefox 2.0.0.5! Pour ma part, je le fais même sous Linux ;-)

Même si le tunel n'est bouché que d'un seul côté (pour combien de temps encore?), ç'est déjà çà de pris. Ce qui n'empêchera pas que les utilisateurs d'Internet Explorer risquent toujours l'exploitation de cette énorme faille par le lancement d'autres programmes via Internet Explorer. A part Firefox, imaginez le nombre de programmes disponibles de la sorte sur votre poste de travail windows!

L'entrée principale est toujours béante! Effarant!