Le navigateur alternatif à la côte de popularité montante connaît un succès grandissant, et comme tous les logiciels plus ou moins populaires, il connaît également des petits problèmes de sécurité, le développement de la chose imposant aux développeurs un rythme insoutenable, indispensable pour tenir tête à un rival comme Internet Explorer.

En ce moment, l'équipe de développeurs de la fondation Mozilla est un peu embarrassée, puisque peu de temps après la sortie de la bêta 1 de la version 1.5 de Mozilla Firefox, une faille de sécurité a été découverte dans le navigateur...

La faille a été révélée par Tom Ferris, chercheur en sécurité.
Elle affecte toutes les versions inférieures ou égale à la 1.0.6 ainsi que la version 1.5 bêta.

La faille est de type dépassement de mémoire tampon (buffer overflow) sur les noms de domaine internationalisés (IDN, non, il ne s’agit pas de votre cher site d’actu, mais de l’acronyme de ‘Internationalized Domain Name’).
En langage compréhensible par le commun des mortels, cela signifie que certaines balises HTML qui contiendraient une URL (volontairement) mal formée ne sont pas correctement gérées par la fonction ‘NormalizeIDN’ du navigateur.
Cette faiblesse pourrait exposer le navigateur à une vulnérabilité qui, une fois exploitée, pourrait utiliser une page HTML pour exécuter du code sur la machine, et accessoirement en prendre le contrôle.

En attendant un patch corrigeant cette faille, une solution proposée par la fondation Mozilla, qui a été alertée dimanche, consiste à se rendre dans les configurations du navigateur (about :config), puis à désactiver la fonction network.enableIDN.
Pour ceux qui ne veulent pas modifier leur navigateur à la main (ou qui sont trop fainéants), Mozilla propose un patch provisoire qui effectue automatiquement cette modification.

Source : News.com

Voir les posts : Par défaut Tous Les bonnes notes Les notes insuffisantes