Suite à une faille dans le protocole Chrome, Firefox vient d’être mis à jour et passe à la version 2.0.0.12.
Le trou de sécurité concerne des extensions qui peuvent être installées sous forme de fichiers non compressés, à l’opposé du format .jar plus courant. La très populaire extension Greasemonkey est un exemple des extensions affectées.
Le nombre d’extensions publiées de cette manière est très grand, il est difficile de dire exactement lesquelles sont (étaient) concernées.
Sur son blog, Window Snyder avait annoncé que le niveau de sévérité de la faille avait été revu et élevé à hautement dangereuse (niveau bas à l’origine).
Une URL chrome://
encodée avec des caractères du type %2e%2e%2f
, que Firefox ne parvenait pas à convertir en ../
et à éliminer, avait pour conséquence une utilisation permettant potentiellement de lire des fichiers arbitraires situés dans un répertoire tiers.
Si vous n’avez pas encore subi la mise à jour automatique de Firefox, il est vivement recommandé de mettre à jour votre navigateur à l’aide d’un des liens suivants.
Si vous désirez plus d’informations sur la mise à jour, consultez les notes de version (En).
Télécharger Firefox 2.0.0.12 en français :
Pour Windows (5,7 Mo)
Pour Mac OS X (16,9 Mo)
Pour Linux (9 Mo)
- Alerte : ‘Storm trojan’ refait surface
- Prism disponible pour Mac et Linux
- Opera s’amuse avec le fuzzer de Mozilla