Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Aurélien Cabezon (SecurityVibes)
Published on Thursday 22 November 2007
0 comment(s) | Subnetwork France

Alors que Mozilla s'atèle à la tâche pour préparer l'arrivée de Firefox 3.0 dont la première version bêta vient de sortir avec son corollaire de fonctionnalités orientées sécurité, la publication d'une preuve de concept relative à une faille affectant son futur prédécesseur, rappelle la Fondation à ses obligations de maintenance. Ainsi, une mouture 2.0.0.10 du fureteur au panda rouge est programmée pour la semaine prochaine, les tests de la communauté débutant ce vendredi.

En début de mois, le désormais célèbre Petko D. Petkov faisait une nouvelle fois parler de lui en alertant Mozilla au sujet d'une vulnérabilité affectant Firefox 2.0 et identifiée depuis le mois de février 2007. Comme il avait pu le faire en septembre dernier avec Apple pour une vulnérabilité vielle d'un an dans QuickTime, Petkov récidivait dans son rôle de sirène d'alarme pour réveiller les consciences endormies.

Ladite vulnérabilité permet à un pirate de mener une attaque par Cross site scripting en dissimulant un code exploit dans un fichier d'ARchive Java (fichier .jar). Le problème provient du fait que le protocole jar tel qu'il est implémenté sous Firefox ne se cantonne pas exclusivement à la manipulation de fichiers .jar, et peut ouvrir des fichiers .zip potentiellement malicieux. Confirmant les dires de Petkov, Mozilla a exposé un scénario selon lequel un attaquant télécharge un fichier au format zip spécialement conçu vers un site de confiance, et incite un utilisateur de Firefox (lien véhiculé par mail par exemple) à charger son contenu via un URI jar:. Firefox autorisant cette manipulation, le contenu est donc chargé depuis un site de confiance et s'exécute dans son contexte; l'attaque par XSS peut avoir lieu mettant en péril les données stockées par l'utilisateur sur le site.

Pour cette vulnérabilité, Petkov s'est montré particulièrement préoccupé en estimant que de nombreuses applications sont des cibles toutes trouvées à l'instar des clients Webmail, des systèmes de collaboration et de partage de documents en ligne et tout ce qui s'intègre dans la mouvance du Web 2.0. La suite des évènements lui a donné raison avec la publication d'une POC impliquant Gmail de Google et la possibilité d'un accès frauduleux aux contacts de l'utilisateur.

POC oblige, les premiers exploits ne devraient désormais plus tarder à faire leur apparition et c'est pourquoi après 9 mois, Mozilla a finalement décidé de prodiguer son correctif. Firefox 2.0.0.10 ne supportera uniquement que les fichiers servis avec un type MIME correct (application/java-archive) et ajustera par ailleurs le contexte de sécurité afin de reconnaître le dernier site comme la source du contenu (correction d'un bug de redirection relatifs aux fichiers .jar/.zip).

Petko D. Petkov est une nouvelle fois parvenu à ses fins.