 |
|
| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Invité
Online
|
 Posté le: Ven Jan 07, 2005 6:04 pm Sujet du message: Risque d'usurpation d'URL dans le module de téléchargement.. |
 |
|
Source: zdnet.fr
Risque d'usurpation d'URL dans le module de téléchargement de Firefox
Une vulnérabilité mineure dans le navigateur vedette de la Mozilla Foundation peut être exploitée pour tromper l'utilisateur sur la nature des fichiers qu'il télécharge.
Mozilla est également affecté
La société danoise de recherche en sécurité Secunia a décelé, le 4 décembre, une vulnérabilité dans le navigateur web Firefox 1.0 – ainsi que dans Mozilla (versions 1.7.3 pour Linux et 1.7.5 pour Windows). De son côté, la Mozilla Foundation, qui gère le développement collaboratif de ce logiciel, a dressé un rapport de bug.
Secunia précise qu'il s'agit d'une vulnérabilité mineure, classée "less critical", au plus bas niveau de son échelle de danger.
Elle peut donc faire l'objet de "spoofing", une pratique d'usurpation d'adresse web difficilement détectable par l'utilisateur.
Cette faille est située au niveau de la boîte de dialogue qui s'affiche lors du téléchargement d'un fichier depuis le navigateur (menu "Tools" et choix "Downloads").
Certains noms de domaine trop longs (taille non spécifiée) peuvent être mal interprétés par ce module de téléchargement.
Une personne malintentionnée pourrait exploiter ce bug pour afficher une URL factice, afin de tromper l'internaute sur ce qu'il transfert sur son système; un fichier malveillant serait alors téléchargé à la place du fichier désiré.
Il n'existe pas encore de correctif mais la Mozilla Foundation assure que ce bug sera corrigé dans une prochaine version des logiciels concernés.
La rançon du succès pour Firefox?
Avec près de 10% de part de marché dans le monde, selon différentes statistiques concordantes, et plus de 15 millions de téléchargements depuis son lancement en novembre dernier, Firefox 1.0 remporte un vif succès.
Mécaniquement, doit-on s'atendre à ce que les alertes de sécurité soient plus fréquentes sur Firefox?
Ne risque-t-il pas d'attirer l'attention de hackers plus ou moins malveillants, qui vont chercher à percer certaines de ses faiblesses?
«Je ne le crois pas», avance Tristan Nitot, président et fondateur de Mozilla Europe dont le siège est à Paris.
«Car même si aucun programme n'est sécurisé à 100%, la sécurité de Firefox a fait l'objet d'une attention soutenue dès le début de son développement, et il demeure mieux sécurisé que ses concurrents», affirme-t-il.
«Pensez au système Apache qui équipe 68% des serveurs dans le monde.
Avec une telle part de marché, il devrait faire l'objet d'alertes de sécurité incessantes, or ce n'est pas le cas.
Outre sa popularité, la conception du programme a donc aussi son importance.»
Une critique bien entendu adressée à Microsoft et son Internet Explorer, dont les failles répétitives ont largement profité à Firefox.
Un report d'intérêt qui pourrait se poursuivre.
Le géant de Redmond vient ainsi d'indiquer qu'il ne lancera pas de nouvelle version de son navigateur avant celui de Longhorn, le successeur annoncé de Windows XP, attendu pour 2006.
«C'est une excellente nouvelle», lance sans détour Tristan Nitot.
Selon le calendrier de la Mozilla Foundation, Firefox 1.1 est prévu en mars 2005.
Les moutures 1.5 et 2.0 sont également inscrites pour cette année. |
|
| Revenir en haut |
|
 |
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
Portail
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Profil
Connexion
