Selon Chapin Information Services (CIS), Firefox serait victime d’une faille de sécurité critique qui touche toutes le versions du navigateur, y compris la récente 2.0. Selon le prestataire high-tech, Firefox présenterait des vulnérabilité au niveau de la gestion des login et mots de passe. Un trou de sécurité que CIS a baptisé Reverse Cross-Site Request (RCSR).
Le navigateur propose en effet un module qui permet d’enregistrer les comptes de connexion à des sites. Ce qui évite d’avoir à les ressaisir à chaque fois que l’on visite un service nécessitant un identifiant de connexion (webmail, blog, site marchand…). Selon CIS, qui met en ligne une page de démonstration, il est possible de capturer ces identifiants à partir d’un service permettant des personnalisations HTML de la page (blogs et forums essentiellement). Internet Explorer est également concerné mais dans une moindre mesure puisqu’il ne propose pas le remplissage automatique des formulaires.
Module antiphishing inefficace
Ces types d’attaques RCSR ont déjà été recensées du côté des services populaires comme MySpace. Selon CIS, « l’attaque RCSR a des chances de réussir parce que ni Internet Explorer ni Firefox ne sont conçus pour vérifier la destination des données de formulaire avant que l’utilisateur ne les soumette. Les utilisateurs voient une adresse Web de confiance dans la barre d’adresse parce que l’exploitation [de la vulnérabilité] s’effectue sur le site de confiance. » Cet exploit (faille potentiellement exploitable) est possible en cliquant sur un lien caché dans une image ou une vidéo. Du coup, les modules anti-phishing des navigateurs s’avèrent inopérants.
La Fondation Mozilla a confirmé la vulnérabilité qui sera corrigée dans une version 2.0.0.1 ou 2.0.0.2 du navigateur. La découverte de la faille remonterait au 12 novembre 2006. Microsoft a déclaré à CIS être conscient du problème mais n’a pas souhaité apporter de commentaire quant à ses éventuels correctifs. En attendant, méfiance. Il est conseillé de désactiver sur Firefox la fonction d’enregistrement de saisie automatiques des comptes de connexion.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…