L'agence nationale de sécurité informatique vient d'envoyer un mail collectif avertissant sur une vulnérabilité découverte dans le navigateur Mozilla Firefox pour les versions antérieures à 2.0.0.5. Ces vulnérabilités critiques pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou exécuter des commandes arbitraires, avertit l'ANSI. Les failles sont dues à plusieurs erreurs. - Une erreur de gestion de certaines données malformées aux niveaux de plusieurs moteurs (e.g. JavaScript) , l'exploitation de cette faille pourrait permettre à des attaquants de causer un déni de service ou exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté. - Une erreur de traitement au niveau des éléments "addEventListener" et "setTimeout", l'exploitation de cette faille pourrait permettre à des attaquants d'injecter un code JavaScript malicieux coté client. - Une erreur de gestion au niveau des pages "about:blank", l'exploitation de cette vulnérabilité pourrait permettre à des attaquants d'usurper l'identité d'une page arbitraire. - Une erreur de traitement de certains éléments malformés, l'exploitation de cette faille pourrait permettre à des attaquants d'exécuter un code arbitraire. -Une erreur de gestion au niveau des noms de fichiers contenant la chaîne "%00", l'exploitation de cette faille pourrait permettre à des attaquants de contourner les mesures de sécurité. - Une erreur au niveau de l'accès à des documents "wyciwyg://", l'exploitation de cette faille pourrait permettre à des attaquants d'accéder à des données arbitraires. - Une erreur au niveau de la gestion de l'objet "XPCNativeWrapper", l'exploitation de cette vulnérabilité pourrait permettre à des attaquants d'exécuter un code arbitraire. Pour y remédier, il faut installer les nouvelles versions du navigateur que l'on retrouve notamment sur le lien http://www.mozilla.com/firefox/ R.B.H.
