Une faille critique de Firefox 3.5 et 3.6 sur Windows a permis à un attaquant d'installer un cheval de Troie sur les systèmes des visiteurs du site officiel du Prix Nobel. Mozilla a identifié la cause de la vulnérabilité et proposera bientôt un correctif. Des chercheurs de l'entreprise de sécurité Norman ASA ont révélé mardi 26 octobre l'existence d'une faille de sécurité dans Firefox exploitée pour lancer une attaque contre les visiteurs du site officiel du Prix Nobel. La vulnérabilité affecte les versions 3.5 et 3.6 du navigateur de Mozilla pour les plates-formes Windows. Elle permettait jusqu'à hier de déclencher des attaques de type drive-by download, c'est-à-dire « de faire télécharger et exécuter à l'insu de l'utilisateur un contenu » malveillant. En l'occurrence, lors de la visite d'un internaute vulnérable sur le site du Prix Nobel, le cheval de Troie Belmoo était installé. Il autorisait ensuite un attaquant à télécharger d'autre code malveillant sur le poste infecté et à exécuter des commandes à distance. Selon Norman, Belmoo représente un risque de sécurité faible. La faille de Firefox est elle plus critique puisqu'elle pourrait permettre à d'autres attaques de s'exécuter. Pour le moment, aucun autre exploit tirant profit de cette vulnérabilité du navigateur n'a été identifié.