Publicité, votre contenu continue ci-dessous Publicité
  1. Accueil
  2. Informatique
  3. Applis & Logiciels
  4. Appli / Logiciel

Mozilla Firefox ignore une faille vieille de 17 ans

Mieux que Doom 4
Par Corentin Bechade (@corentinbechade)
Partager :
2

Utilisateurs et utilisatrices de Firefox, soyez méfiants si l’on vous envoie un fichier HTML louche. Une faille du navigateur permet de voler vos données.

2

ff-900.jpg

Alors que Mozilla avait colmaté un bug critique de Firefox il y a quelques semaines à peine, voilà qu'une autre faille de sécurité vient pointer le bout de son nez. Enfin, pointer le bout de son nez est un euphémisme, car en réalité le problème soulevé par le chercheur en sécurité Barak Tawily est connu depuis 17 ans

Publicité, votre contenu continue ci-dessous

C'est 01net qui a repéré l'histoire. Cela commence par un bête fichier HTML et finit par un siphonnage en règle de certaines de vos données. Le bug se décortique ainsi : un tiers vous envoie un fichier HTML vérolé, vous le téléchargez avec comme destination votre dossier "Documents" et en cliquant sur le bouton intégré à la page malveillante vous venez d'ouvrir grand les portes de ce dossier et de tous les sous-dossiers qu'il contient. Plutôt gênant. Une vidéo mise en ligne montre le déroulé de l'opération.

Netscape 6.1 aussi affecté

En cause, une implémentation bancale du principe "Same Origin Policy" qui permet notamment à un navigateur web d'accéder à certains fichiers sur le disque dur de l'internaute. Pour Chrome ou Safari, chaque fichier est isolé des autres, le navigateur ne peut donc pas accéder à vos données. Pour Firefox, tous les fichiers et les dossiers viennent de la même "origine" et peuvent donc être librement observés. Ajoutez à cela une interface de programmation qui permet au navigateur de lire et de récupérer ces fichiers et vous obtenez une faille en bonne et due forme.

Pour autant, Mozilla, la société éditrice de Firefox, ne parait pas plus paniquée que ça, puisque le problème avait déjà été souligné… le 30 avril 2002. À l'époque, un internaute nommé Dave Kimberley détaillait comment la même méthode pouvait être utilisée pour obtenir les mêmes résultats sur Firefox 0.9 et Netscape 6.1. À défaut d'être rassurante, cette découverte permet de se replonger dans de vieux souvenirs du web.

Bien évidemment, en attendant d'avoir plus de nouvelles, nous vous déconseillons de télécharger des fichiers HTML envoyés depuis des sources louches.

Publicité, votre contenu continue ci-dessous

Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques

Publications qui peuvent vous intéresser