2010-01-20_212937.png

Secunia et d'autres organismes de veille sécuritaire font état depuis peu d'une faille classée hautement critique (avant-dernier niveau de gravité) sur Firefox 3.6, lorsqu'il est utilisé sous XP SP3 ou Vista.

La faille permet l'introduction de code dans la machine victime, son exploitation permet donc de télécharger et installer n'importe quoi, via des liens piégés. Vous l'avez compris,

La fondation Mozilla est au courant, alertée par un chercheur, Evgeny Legerov, travaillant pour Intevydis, une société qui édite un plugin de sécurité - Vulndisco - pour un logiciel professionnel d'exploitation et test de vulnérabilités : Immunity Canvas. En revanche, tout n'est pas clair. Mozilla a communiqué (lien plus bas) ne pas avoir reçu de détails sur cette vulnérabilité, ni de réponses de la part du chercheur après l'avoir contacté. Coup de pub pour Intevydis ? Mauvaise publicité pour Firefox ? L'accès aux données sur l'exploitation de la faille nécessiterait l'installation de Vulndisco et Immunity Canvas.

La fondation Mozilla appelle dans un autre communiqué à la diffusion responsable et de ce type d'information, en réelle collaboration avec les développeurs.

---

Une chose reste sûre : il faut absolument maintenir son navigateur et les autres logiciels parfaitement à jour. Certaines extensions ne sont plus compatibles ? Contactez les développeurs, souvent il ne s'agit que de changer un chiffre dans un fichier, car l'extension demande une version spécifique de Firefox au lieu de se déclarer compatible avec toutes les versions de la branche en cours.

Pour plus d'information :

Le communiqué de Mozilla :
http://blog.mozilla.com/security/2010/02/22/secunia-advisory-sa38608/

Le bulletin chez Secunia :
http://secunia.com/advisories/38608/