Firefox + Internet Explorer = faille ?

Selon des chercheurs en sécurité, il semblerait que l'utilisation conjointe sur un même système d'Internet Explorer et de Firefox v2.00 puisse donner lieu à une vulnérabilité à haut risque. Le problème soulevé se produirait en naviguant sur un site malintentionné depuis Internet Explorer, site qui utiliserait l'identifiant de ressource "firefoxurl://" enregistré par Firefox pour interagir avec certaines ressources du web et compromettre ainsi la machine.

Alors que les premiers rapports sur cette faille incriminaient la dernière mise à jour de sécurité d'Internet Explorer, il semblerait qu'au final Internet Explorer et Firefox soit tous les deux coupables. Selon le directeur de sécurité de Symantec, Oliver Friedrichs, les deux applications sont responsables : « Vous avez deux logiciels très complexes qui ne s'entendent pas très bien et peuvent être à l'origine d'un problème de sécurité. Les composants seuls sont sûrs mais pas lorsqu'ils sont ensemble. ». Selon le chercheur Thor Larholm, chercheur en sécurité : « Firefox est le vecteur actuel de l'attaque mais Internet Explorer est en cause pour ne pas supprimer certains caractères qu'il passe en ligne de commande. ».

Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute. En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.

A qui la faute?
- celui qui permet à l'erreur de se propager?
- celui qui propage l'erreur?

Bref, on va surtout voir lequel des deux corrigera le premier, j'imagine déjà le sujet à pronostic :)
Edité le 12/07/2007 à 09:55

Moi j'ai envie de troller ce matin....votez Opera!

Bon sérieusement faudrait que nos 2 compagnons corrigent ca sans se jeter la patate chaude.....

LaTeamClubic a écrit:
[...] En attendant un éventuel correctif, il est toujours possible de supprimer l'objet "Firefox URL" de son système d'exploitation pour se prémunir de tout problème.

Heu comment qu'on fait ça ?

Et a quoi ca sert l'objet "Firefox URL" ? Il ne me semble pas avoir déjà rencontré ce genre d'url.

Quand on a FireFox, on n'utilise plus IE, sauf rares exceptions.

Donc pour moi il n'y a pas de problème.

:ouch: IE responsable parce qu'il ne bloque pas des caractères ??? Mais si MS le faisait, ne s'exposerai-t-il pas à des plaintes pour entrave au bon fonctionnement d'un produit concurrent ? :/

Je ne comprend pas pourquoi Microsoft s'entête avec Internet Explorer! Même leur propre employés utilisent Firefox principalement. Tout le monde critique ce logiciel, même si sa version 7 et une énorme avancée !

Pour supprimer l'objet "Firefox URL" :
- ouvrez un explorateur de fichiers
- affichage -> option des dossiers
- onglet "type de fichier"
- supprimez ce que vous voulez dans la liste.

Personnellement, je ne peux pas supprimer "Firefox URL", mais je peux supprimer tous les autres types de "Firefox Document" (HTM, HTML, etc...). Est- suffisant ? à défaut, j'ai pu supprimer, dans l'objet "Firefox URL", l'action "open" par défaut. Cela peut-il régler le problème ?

L'URI (c'est pas une URL, une URL est un type d'URI) permet d'appeler Firefox avec des paramètres. J'ai du mal à comprendre pourquoi ça doit passer par Internet Explorer cette commande... Mais bon, dommage pour les utilisateurs de Windows.

en quoi il est utile que firefox puisse interagir avec internet explorer, et vice versa? Simple question...

Moi j'ai envie de troller ce matin....votez Opera!

Opéra c'est bien ... un peu trop même. Il respecte un peu trop les standards et vu que les sites sont codés "à la porc" Opéra n'est pas le meilleur navigateur pour surfer tranquillement :/

-Oo- a écrit:
Opéra c'est bien ... un peu trop même. Il respecte un peu trop les standards et vu que les sites sont codés "à la porc" Opéra n'est pas le meilleur navigateur pour surfer tranquillement :/

... mais c'est comme ça qu'on les fait respecter les standards ... :whistle:

moi je dit faut pas paniquer utiliser uniquement firefox et n aller pas sur n importe qu elle site a la ... et tout sera sous controle!

-Oo- a écrit:
Opéra c'est bien ... un peu trop même. Il respecte un peu trop les standards et vu que les sites sont codés "à la porc" Opéra n'est pas le meilleur navigateur pour surfer tranquillement :/

Firefox 3 passera le test acid2 avec le moteur Gecko 1.9 :paf:

decimal a écrit:
en quoi il est utile que firefox puisse interagir avec internet explorer, et vice versa? Simple question...

Parce que Firefox tout seul ne permettra pas à une URI malformée de passer. Il n'y a que IE qui laisse passer les URI malformées permettant l'exploitation de la faille.

LoneSloane a écrit:

Parce que Firefox tout seul ne permettra pas à une URI malformée de passer. Il n'y a que IE qui laisse passer les URI malformées permettant l'exploitation de la faille.

Nous avons donc un Firefox coupable d'enregistrer dans Windows une nouvelle ressource d'exécution sans plus de précaution alors qu'Internet Explorer est coupable de ne pas filtrer convenablement le contenu qu'il exécute.

N'en déplaise, les 2 sont bien coupables.

mais si Firefox exploite des failles de IE... comment il marche sous Linux ou MacOS ? Il y a des fonctions en moins ?

A tester depuis IE

Apparement la protection est d'utiliser l'extension NoScript
Edité le 12/07/2007 à 10:25