Firefox corrige la faille URI

La Fondation Mozilla vient de mettre à jour son navigateur. Moins de 15 jours après la version 2.0.0.5, distribuée le 17 juillet 2007, Firefox 2 passe donc en version 2.0.0.6. Cette mise à jour corrige essentiellement des failles de sécurité. Et particulièrement la vulnérabilité relative à l’identifiant de ressource uniforme (URI ou Uniform Resource Identifier) qui permet notamment de rediriger un utilisateur vers une page web infectieuse.

L’URI permet de lier une chaîne de caractères d’une page web (un mot, une phrase…) à une application tierce. Ainsi, le protocole « mailto » permet de lancer une application de messagerie comme Outlook ou Thunderbird.

Seule la version Windows de Firefox est affectée

Cette faille, qui affecte aussi bien Firefox que Internet Explorer, a fait l’objet d’une controverse. La Fondation Mozilla mettant en cause Internet Explorer avant de reconnaître que Firefox était également affecté. Mais il semblerait que la faute revienne à Internet Explorer 7 et, donc, le système Windows.

Selon l’US-CERT, l’agence de sécurité informatique américaine, la problématique proviendrait de la façon dont l’API (l’interface de programmation) de Windows gère les URI. L’installation d’Internet Explorer 7 a modifié la façon dont le système interprète les protocoles permettant de lancer des applications tierces. « Cela a introduit une faille qui peut amener Windows à déterminer incorrectement le programme approprié pour le protocole spécifié dans l’URI », note le CERT dans sa fiche datée du 27 juillet et mise à jour le 30.

Autrement dit, Firefox n’est pas directement en cause même si le navigateur peut servir de vecteur à une attaque. Seule la version du navigateur pour Windows est d’ailleurs affecté, précise le CERT. La nouvelle version du navigateur vise à palier le risque d’attaque. Thunderbird, ainsi que la suite web Seamonkey, devraient bénéficier prochainement de cette mise à jour. On attend la réponse de Microsoft.