IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Firefox Discussion :

Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox


Sujet :

Firefox

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    7 301
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 7 301
    Points : 175 408
    Points
    175 408
    Par défaut Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox
    Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox,
    pour disposer d'un correctif à une faille de sécurité critique

    Jeudi dernier, la Fondation Mozilla a confirmé la présence d’une vulnérabilité catégorisée comme étant critique dans son navigateur découverte par un utilisateur. « Le chercheur en sécurité Code Crews a signalé un moyen de violer la Same Origine Policy et d’injecter un script dans une partie non-privilégiée de PDF Viewer. Cela permettrait à un attaquant de lire et voler des données locales sensibles depuis l’ordinateur de la victime. Mozilla a reçu des rapports indiquant qu’un exploit basé sur cette vulnérabilité a été trouvé ». Pour rappel, Same Origin Policy est un mécanisme qui renforce la séparation de contexte JavaScript.

    Une annonce sur un site de presse en Russie dont le nom n’a pas été dévoilé a été en mesure de se servir de la vulnérabilité pour télécharger certains fichiers depuis l'ordinateur d'un utilisateur pour les envoyer vers un serveur vraisemblablement basé en Ukraine. L’attaque, qui a exploitée le PDF Viewer de Firefox ainsi que le fait qu’il fait appel au code JavaScript, semblent s’être focalisée sur des « documents centrés développeur » comme l’a expliqué dans un billet Daniel Veditz, responsable sécurité chez Mozilla.

    « Les fichiers visée par l’attaque étaient bizarrement centrés développeurs pour un exploit lancé sur un site de presse avec une audience large publique, même si, bien sûr, nous ne savons pas où a encore été déployée la publicité malveillante. Sur Windows, l’exploit recherchait les fichiers de configuration de subversion, s3browser et FileZilla, des informations sur les comptes .purple et Psi+ ainsi que les fichiers de configuration de sites depuis huit différents clients FTP populaires ». Sur Linux, l’exploit recherchait les configurations globales habituelles comme /etc/passwd et a également cherché les configurations fichiers et clés .ssh, .bash_history, .mysql_history, .pgsql_history, les configurations fichiers pour FileZilla et Psi+, les fichiers texte comportant « pass » et « access » dans leurs noms, et tous les scripts shell. Il y a également une variante sur Mac qui recherche pratiquement les mêmes types de fichiers que sur Linux.

    « L’exploit ne laisse pas de trace de son exécution en local sur une machine. Si vous utilisez Firefox sur Windows ou Linux, il serait prudent de modifier tous les mots de passe et clés qui se trouvent dans les fichiers mentionnés en sus dans le cas où vous vous servez des programmes cités. Les personnes qui se servent des logiciels de blocage de publicité peuvent avoir été protégées contre cet exploit en fonction du logiciel et des filtres spécifiques qui ont été utilisés », a-t-il avancé.

    Mozilla a publié un correctif et insiste sur le fait que les utilisateurs mettent à jour leur navigateur vers Firefox 39.0.3 mais également vers Firefox ESR 38.1.1. Les versions du navigateur qui ne contiennent pas PDF Viewer, comme Firefox pour Android, ne sont pas affectées par cette vulnérabilité dans la sécurité.

    Source : blog Mozilla, Mozilla
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 155
    Points : 578
    Points
    578
    Par défaut
    Sur Linux, l’exploit recherchait les configurations globales habituelles comme /etc/passwd et a également cherché les configurations fichiers et clés .ssh
    Les clés ssh récupérées, ça fait mal
    Go mettre à jour.

  3. #3
    Membre éclairé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    362
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 362
    Points : 716
    Points
    716
    Par défaut
    Mozilla incite les utilisateurs à mettre à jour leur navigateur Firefox
    Pas besoin, il se met à jour tout seul. Ils devraient le savoir !

  4. #4
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    juin 2010
    Messages
    3 093
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : juin 2010
    Messages : 3 093
    Points : 6 751
    Points
    6 751
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Les personnes qui se servent des logiciels de blocage de publicité peuvent avoir été protégées contre cet exploit
    NoScript for the win!
    La FAQ JavaScript – Les cours JavaScript
    Touche F12 = la console → l’outil indispensable pour développer en JavaScript !

  5. #5
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 155
    Points : 578
    Points
    578
    Par défaut
    Citation Envoyé par domi65 Voir le message
    Pas besoin, il se met à jour tout seul. Ils devraient le savoir !
    Les utilisateurs linux Linux utilisent généralement le gestionnaire de paquet de l'OS pour les mises à jour.

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2013
    Messages
    353
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 353
    Points : 510
    Points
    510
    Par défaut
    Salut

    Citation Envoyé par Watilin Voir le message
    NoScript for the win!
    Et sous Linux...

    The exploit leaves no trace it has been run on the local machine. If you use Firefox on Windows or Linux...
    Citation Envoyé par domi65 Voir le message
    Pas besoin, il se met à jour tout seul. Ils devraient le savoir !
    Ils le savent mais en théorie ce n'est vrai que pour seulement pour une majorité d'utilisateurs... bien des utilisateurs désactivent la mise à jour de Firefox.

Discussions similaires

  1. Pourquoi les utilisateurs gardent-ils leur PC sous Windows XP ?
    Par Hinault Romaric dans le forum Windows
    Réponses: 153
    Dernier message: 18/06/2015, 23h55
  2. Réponses: 5
    Dernier message: 20/04/2011, 10h37
  3. Réponses: 0
    Dernier message: 18/04/2011, 16h28
  4. [FluxBB] PunBB : Empêcher les utilisateurs de changer leur pseudo
    Par Invité dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 20/07/2009, 12h02
  5. Mettre à jour les if et variable toute les x seconde.
    Par Guillaume602 dans le forum C++
    Réponses: 5
    Dernier message: 06/12/2005, 20h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo