Les utilisateurs de Firefox 2 auront sans doute remarqué ce matin que le module de mise à jour automatique du
logiciel leur suggérait l'installation d'une nouvelle mise à jour, estampillée 2.0.0.6. Proposée au téléchargement moins d'un mois après la sortie de la précédente version du navigateur, cette mise à jour vient corriger la faille relative à l'identifiant de ressource « firefoxurl:// » découverte mi-juillet. Cet identifiant de ressources (URI, ou Uniform Resource Identifier) est par exemple utilisé par le logiciel pour lancer une application tierce à partir d'un lien placé sur une page Web.
Cette faille a récemment fait l'objet d'une controverse entre
Mozilla et Microsoft. Lors de sa découverte, celle-ci impliquait l'utilisation conjointe d'Internet Explorer et de Firefox. Pour l'exploiter, il fallait d'abord charger un lien corrompu dans Internet Explorer, puis envoyer les informations à Firefox, qui se révélait alors susceptible de lancer un logiciel sans le consentement de l'utilisateur. La première réponse de Mozilla fut d'expliquer que seul Internet Explorer était à blamer, mais la fondation est ensuite rapidement revenue sur sa position pour reconnaitre que Firefox était également concerné. D'où cette correction, qui devrait rapidement être portée sur Thunderbird et
Seamonkey.
Un
rapport de l'US Cert daté du 27 juillet soulève toutefois une nouvelle problématique : cette faille pourrait en effet être inhérente à Windows, à partir du moment où Internet Explorer 7 est installé sur le système. La denrière version du navigateur aurait en effet modifié la façon dont Windows interprète les protocoles d'appel aux applications tierces, telles que la fonction « mailto: » censée ouvrir le client de messagerie. Via cette faille, il serait possible de faire appel à une application autre que celle à laquelle est normalement destiné l'URI.
Publicité
( les afficher maintenant )