Mozilla corrige une faille d’un précédent correctif de Firefox
Le correctif de décembre de Firefox et SeaMonkey permettait l’installation de
logiciels pirates.
La Fondation Mozilla a émis, le 5 mars 2007, un nouveau correctif disponible pour le navigateur Firefox et la suite web SeaMonkey. Cette mise à jour vient combler une vulnérabilité créée lors du précédent correctif du 19 décembre 2006. Le correctif MFSA 2006-72 « introduit une régression qui permet à des scripts de pages web d’exécuter arbitrairement du code à partir de l’attribut ‘src’ d’une balise IMG dans un javascript: URI », précise l’éditeur.
L’URI (Uniform Resource Identifier ou identifiant uniforme de ressource) est une courte chaîne de caractères permettant d’identifier une ressource web. Cette faille permet donc à des personnes malintentionnées d’installer à distance des agents malveillants sur l’ordinateur de la victime qui visiterait une page web réalisée à cet effet. Lesquelles pourraient y être invité à l’occasion d’une campagne de phishing.
Les versions affectées sont Firefox 1.5.0.9 et 2.0.0.1 et SeaMonkey 1.0.7. La Fondation Mozilla a corrigé la vulnérabilité à travers les versions Firefox 1.5.0.10/2.0.0.2 et SeaMonkey 1.1.1/1.0.8 qu’il est vivement conseillé d’installer ou de laisser faire la mise à jour automatique. L’exploitation de la faille est en effet possible « même si le Javascript est désactivé dans les préférences globales », prévient l’organisation. Le client de messagerie Thunderbird n’est en revanche pas affecté par cette vulnérabilité.