Firefox : une faille de 17 ans révélée, Mozilla ne compte rien changer

Le par Mathieu M.  |  4 commentaire(s)
firefox-nouveau-logo

Une faille datant de 17 ans a été repérée au sein du navigateur Firefox, elle permettait de subtiliser les fichiers d'un PC à distance via l'envoi d'un fichier HTML par email.

Le chercheur en sécurité Bartak Tawily vient de mettre en évidence une faille dans le navigateur Firefox qui serait connue depuis plus de 17 ans, mais que Mozilla n'a fait qu'ignorer depuis tout ce temps.

Dans une démonstration, il explique comment un attaquant peut télécharger des fichiers sur un PC distant grâce à l'envoi d'un simple fichier HTML douteux par email. Une fois que la cible a reçu le fichier et cliqué dessus, l'attaquant a accès a l'ensemble du répertoire dans lequel est stocké le fichier HTML ainsi qu'aux sous-répertoires.

  

La faille de type "Same Origin Policy" exploite les limites de la protection des navigateurs contre le cross-site scripting. Dans Firefox, tous les fichiers d'un même répertoire constituent une même origine, ce qui permet d'accéder à tous les fichiers d'un même dossier à partir de l'un d'entre eux. Par ailleurs, Firefox autorise également l'utilisation de l'interface de programmation Fetch API permettant d'accéder à leur contenu, ce qui permet donc à un attaquant de préparer le terrain pour un vol de données.

Mozilla a confirmé la situation, mais ne semble pas considérer qu'il s'agit d'une faille, mais plutôt d'un choix de la part des développeurs concernant la gestion du protocole SOP.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
nicolas0007 offline Hors ligne Senior avatar 268 points
Narcos offline Hors ligne VIP icone 26042 points
Le #2070629
la dernière phrase de l'article semble résumer le ''problème''
Padrys offline Hors ligne Vénéré icone 4300 points
Le #2070634
D'après ce que je vois sur la vidéo, il envoie une clé SSH sur le serveur HTML, ça fait donc 2 serveurs (ssh et html) à avoir pour être concerné.

Donc il n'envoie pas un fichier au hazard, la clé SSH, si on l'a, on se connecte directement sans passer par Firefox.
Ha, je remarque aussi que c'est une clé RSA, pas très sécure

Bref, globalement on peut encore utiliser Firefox.
lebonga away Absent VIP avatar 33337 points
Le #2070638
Par sécurité, un p'tit noscript activé sur les sites "nouveaux"...
icone Suivre les commentaires
Poster un commentaire