Décidément cette semaine n’aura pas été un long fleuve tranquille en matière de sécurité. Outre les différentes annonces de la Black Hat et les différentes failles dans Android, c’est la Fondation Mozilla qui tire la sonnette d’alarme sur une faille présente dans Firefox. Il s’agit d’une vulnérabilité découverte par un chercheur en sécurité, Cody Crew, dans une publicité malveillante sur un site d’information Russe. La brèche se situe dans le viewer PDF et permet de chercher les données sensibles sur l’ordinateur.
Mozilla a donc mis en place un correctif pour la version 39 de Firefox, ainsi que pour la mouture ESR 38.1.1, qui dispose d’un support étendu. La mise à jour doit être téléchargée le plus rapidement possible, car la faille est déjà exploitée. Pour la plupart des utilisateurs, le correctif se mettra en place automatiquement avec l’update du navigateur à la prochaine activation.
La vulnérabilité provient « de l’interaction du mécanisme qui impose la séparation du contexte JavaScript et la visionneuse PDF de Firefox», explique dans un blog, Daniel Veditz, chef de la sécurité chez Mozilla. Il se veut rassurant : « La faille ne permet pas d’exécution de code arbitraire à distance, mais l’attaque est capable d’injecter un JavaScript malveillant dans un fichier contextuel local. Ce qui donnerait la capacité de faire des recherches et de télécharger des fichiers locaux sensibles. »
Dans la méthode découverte par Cody Crew, la charge utile en JavaScript ciblait des fichiers de configurations de Subeversion, s3browser, Filezilla et libpurple sur les systèmes Windows. Pour Linux, le code malveillant va chercher des fichiers de configuration dans /etc/ mais aussi dans .bash_history, .mysql_history, .pgsql_history, .ssh files, n’importe quel fichier texte avec un « pass » et un « access » dans le nom, et enfin sur la totalité des scripts shell. Les MAC ne sont pas concernés par cette faille.
A lire aussi :
Windows 10 : Mozilla mécontent du choix par défaut du navigateur Edge
Mozilla revoit sa stratégie et veut accélérer le développement de Firefox
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…