Une récente faille de sécurtié découverte dans le navigateur web Firefox permettrait à n’importe quel individu d’exécuter des commandes arbitraire sur votre PC au travers d’une simple page web.
D’après le site frSIRT, « Le problème résulte d’une erreur présente au niveau de la gestion des paramètres « src » (inclus avec un tag « IFRAME ») et « iconURL » (utilisé par la fonction « InstallTrigger.install »), qui ne sont pas correctement filtrés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page web ou un email contenant un code javascript malicieux. »
Toutes les versions sont vulnérables, y compris la 1.0.3.
A l’heure actuelle, aucun correctif n’est disponible côté client (navigateur) par contre, la fondation Mozilla à modifié la fonction « install » sur son serveur de téléchargement des extensions, ce qui empêche l’exécution de commandes arbitraires distantes.
Pour plus de sécurité en attendant la publication du correctif, nous vous conseillons de désactiver JavaScript ou désactiver l’option « Permettre aux sites web d’installer des logiciels »
Source : frSIRT
