Le navigateur Firefox 2.0.0.10 comble trois failles de sécurité
Jugée « élevées », les failles de sécurité pourraient compromettre un système vulnérable.
A quelques probables semaines de la disponibilité de Firefox 3 (disponible en version bêta 1 depuis peu), la Fondation Mozilla enchaîne les mises à jour de son navigateur fétiche. Pour renforcer sa sécurité, le plus souvent. La version disponible ce mardi 27 novembre 2007 n’échappe pas à la règle.
Firefox 2.0.0.10 corrige trois vulnérabilités classées comme « élevées » (high) par l’éditeur. Exploitées par des personnes malintentionnées, ces failles permettent de contourner les mesures de sécurité, compromettre un système vulnérable ou bien permettre une attaque par déni de service.
SeaMonkey également concerné
La première faille (référencée MFSA 2007-38) se rapporte à un risque de corruption de mémoire qui pourrait permettre à un attaquant de faire exécuter du code arbitraire par l’intermédiaire d’une page web vérolée. Mozilla n’a fourni aucun détail du bug. Les deux autres vulnérabilités sont respectivement liées à la propriété « window.location » et au gestionnaire de protocole « jar: ».
La suite Web SeaMonkey est également concernée par ces vulnérabilités. Elles sont corrigées dans la version 1.1.7. Les utilisateurs de Firefox 2.x sont de leur côté invités à installer la version 2.0.0.10, soit manuellement (à partir du menu Aide, rubrique Rechercher les mises à jour), soit automatiquement via une alerte de mise à jour qui doit intervenir dans les 48 heures.