Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 252
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 252
    Points : 112 504
    Points
    112 504

    Par défaut Des sites malveillants se servent d'un bogue vieux de 11 ans sur Firefox

    Des sites malveillants se servent d'un bogue vieux de 11 ans sur Firefox,
    qui a déjà été corrigé sur Chrome et le navigateur de Microsoft

    Il ne s’agit pas d’un problème très original en soi, étant donné que le Web regorge de sites malveillants. La particularité ici est que des acteurs malveillants ont exploité un bogue de Firefox que les ingénieurs de Mozilla ne semblent pas avoir corrigé dans les 11 années qui ont suivi les premiers signalements en avril 2007.

    À l’époque, le problème avait été découvert au sein des principaux navigateurs et il a déjà été corrigé sur Internet Explorer (qui est désormais Microsoft Edge) ainsi que Chrome.

    L'exploit du navigateur tire parti de l'intégration d'un iframe dans le code source de sites Web malveillants. L'iframe malveillant utilise des demandes d'authentification HTTP sur d'autres domaines et présente les sites Web malveillants comme « authentiques », ce qui rend difficile la différenciation entre les sites Web réels et les sites Web factices.

    Les acteurs malveillants se servent de cette faille pour des escroqueries liées au support technique, des fermes de publicité qui rechargent la page en boucle avec de nouvelles annonces, des pages qui poussent les utilisateurs à acheter de fausses cartes-cadeaux ou encore des sites proposant des mises à jour malveillantes de logiciels.

    Chaque fois que les utilisateurs tentent de partir, une invite d’authentification est déclenchée dans une boucle. Chaque fois que l'utilisateur annule, une nouvelle requête est émise et une nouvelle invite apparaît, le gardant ainsi captif jusqu'à ce qu'il ferme complètement le navigateur et qu'il soit obligé de démarrer une nouvelle session de navigation.

    Microsoft a réussi à atténuer ce problème en permettant un délai important entre les invites d'authentification; les utilisateurs disposent de suffisamment de temps pour fermer les onglets malveillants. De son côté, Google a rendu les invites d'authentification exclusives à chaque onglet. Cela signifie que les boîtes de dialogue persistantes d'authentification se contentent de bloquer l'onglet et non le navigateur en entier. Cela permet ainsi à l'utilisateur de fermer facilement l'onglet abusif.

    Nom : firefox dialogue.png
Affichages : 9924
Taille : 160,9 Ko

    Mozilla, pour sa part, a essayé plusieurs solutions, mais aucune d’entre elles n’a été particulièrement efficace. Résultat ? Un utilisateur a signalé le même problème samedi dernier. Celui ci a atterri sur l'un de ces sites louches qui a tenté de le forcer à installer une extension suspecte de Firefox.

    Citation Envoyé par Utilisateur Firefox
    Lorsque je naviguais sur un site, une fenêtre de publicité s’est affichée, l’adresse de la page commençait par http://mainlink.cool/

    Au début, je pensais qu’il s’agissait juste d’un site de publicité ennuyeux. Aussi, j’ai voulu le fermer, cependant je n’ai pas réussi.

    La page s’est ouverte en mode plein écran. Avec certaines fausses boîtes de dialogues Windows (j'utilise Linux, donc je sais qu’elles sont fausses). Elle a essayé de [me forcer] à installer ses extensions. J’ai donc appuyer sur ESC pour quitter le mode plein écran. J’ai cliqué sur le bouton de fermeture de l'onglet ou de la fenêtre, mais cela n’a pas fonctionné car elle contenait cette boîte de dialogue de connexion. J’ai cliqué sur le bouton de fermeture de la boîte de dialogue de connexion ou sur le bouton d'annulation. La boîte de dialogue est apparue à nouveau. Encore une fois, j’ai cliqué sur le bouton Ne pas autoriser sur la boîte de dialogue proposant de télécharger l’extension, mais cela n’a pas semblé fonctionner. J'ai donc décidé de mettre fin au processus Firefox, c’était la seule solution pour moi.
    D’après les réponses sur BugZilla, Mozilla va publier très prochainement un correctif. Cependant, la Fondation n’a pas précisé si elle allait se servir de la solution optée par Microsoft, celle que Google a préféré ou alors créer quelque chose de nouveau pour Firefox.

    Source : BugZilla

    Et vous ?

    Avez-vous déjà rencontré un site Web qui se comporte de la sorte sur Firefox ?
    Mozilla devrait-il adopter la méthode de Microsoft, celle de Google, ou partir sur une méthode qui lui serait propre ?

    Voir aussi :

    Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue, qui affecte les informations de 52 millions d'utilisateurs
    PB 5.70 LTS : La bêta 4 est disponible sur votre compte avec des corrections de bogues et la doc française à jour.
    Les employés Apple Store US ne sont pas autorisés à utiliser des mots comme bogue, car les produits ne doivent pas être vus comme source du problème
    Des services Azure cloud de Microsoft inaccessibles en Europe, Asie et Amérique pendant 14 h à cause de 3 bogues dans son service d'authentification
    Windows 10 October 2018 : de nouveaux bogues font surface dans Media Player et les app Win32 en général après la reprise du déploiement de l'update
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Profil pro
    retraité
    Inscrit en
    décembre 2010
    Messages
    192
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : décembre 2010
    Messages : 192
    Points : 390
    Points
    390

    Par défaut

    Je n'ai jamais compris pourquoi on ne pouvait pas bloquer cela facilement, du coup, si par malheur tu tombes sur un de ces sites, t'es quasi obligé de tuer le processus...

  3. #3
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    7 459
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 7 459
    Points : 19 311
    Points
    19 311

    Par défaut

    Citation Envoyé par archqt Voir le message
    Je n'ai jamais compris pourquoi on ne pouvait pas bloquer cela facilement, du coup, si par malheur tu tombes sur un de ces sites, t'es quasi obligé de tuer le processus...
    Cela m'était justement arrivé avec Firefox.

    Cependant, comme il y a un délai entre la fermeture et l'ouverture de la prochaine boîte de dialogue, tu peux placer ta souris au bon endroit, fermer la boîte de dialogue actuelle grâce à ton clavier, et te dépêcher pour cliquer.

    C'est quand même étrange, il me semblait que dans les anciennes version de Firefox, on avait une petite case à cocher pour empêcher le site d'ouvrir plus de boîtes de dialogues. Je me demande pourquoi cette option n'est plus présente dans les nouvelles versions de Firefox.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  4. #4
    Membre éclairé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    338
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 338
    Points : 668
    Points
    668

    Par défaut

    " internet explorer qui est désormais edge "...
    Non! Internet explorer est resté internet explorer et edge est un tout autre browser

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    Conseiller de vente
    Inscrit en
    décembre 2018
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Conseiller de vente
    Secteur : Boutique - Magasin

    Informations forums :
    Inscription : décembre 2018
    Messages : 1
    Points : 1
    Points
    1

    Par défaut

    Pour ma part lorsque je navigue avec firefox et que je rencontre ce genre de soucis sur une page frauduleuse avec des boites de dialogues qui n'en finissent plus de réapparaitre après chaque fermeture j'utilise simplement la technique du "Alt / F4" deux ou trois fois de suite ce qui permet de fermer la boite de dialogue puis la publicité ou l'invite d'installation frauduleuse et enfin l'onglet incriminé si on appuie une fois de trop c'est firefox qui se coupe il faut alors relancer une session

Discussions similaires

  1. Réponses: 8
    Dernier message: 27/07/2018, 22h07
  2. Réponses: 2
    Dernier message: 29/08/2011, 10h11
  3. Réponses: 0
    Dernier message: 23/08/2011, 01h43
  4. Mauvaise gestion des sites malveillants
    Par fiduce dans le forum Firefox
    Réponses: 1
    Dernier message: 02/05/2010, 19h05
  5. Réponses: 0
    Dernier message: 17/09/2009, 22h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo