Sécunia a publié aujourd'hui une alerte de sécurité [SA15601], notée modérément critique, concernant Mozilla 1.7.8, Firefox 1.0.4 et versions précédentes.
En fait, c'est une ancienne faille SA11978 qui affecterait à nouveaux ces produits.
Il s'agit d'une possibilité de spoofing via des pages webs construites à l'aide de frames.
Secunia propose une procédure de test (anglais) : http://secunia.com/multiple_browsers_fr ... lity_test/
[Pour moi, le test n'est pas positif. Peut-être parce que je suis suffisamment crevé ce soir pour ne pas respecter des instructions à la lettre
]Du côté de Bugzilla :
Cette "ancienne faille" avait été corrigée dans Firefox 0.9 et Mozilla 1.7 : A l'époque [été 2OO4], elle était décrite par le bug 246448 [can spoof framed sites by changing frame contents].
Aujourd'hui, il faut suivre le bug 296850 [Frame injection spoofing (bug 246448 returns - SA15601)]
[Note_1 : le 1er commentaire de ce bug ne note pas FF1.0.4 et Moz 1.7.8 comme vulnérable .... faudrait savoir
][Note_2 : c'est peut-être pour ça que le cas de test proposé sur Bugzilla est aussi négatif chez moi
]Edit_1 : Arf ! je viens de réaliser que les test proposés plus haut demontrent la faille à condition d'ouvrir un lien dans une nouvelle fenêtre.
Moralité : ouvrir les liens dans des onglets protège de cette faille.
Pour les paranos => Assurez-vous de n'avoir qu'une seule fenêtre ouverte quand vous vous rendez sur un site de confiance sur lequel vous allez devoir saisir des informations sensibles
Edit_2 : Le bug 296850 est résolu depuis le 08.06.05. Les correctifs seront prochainement disponibles, à savoir : Firefox 1.0.5 & Mozilla 1.7.9.
Edit_3 : Pour en savoir plus, consultez Mozillazine-fr.
