Firefox 2.0.0.7 comble une faille liée à Quicktime

La fondation distribue depuis quelques heures une mise à jour de sécurité destinée à son navigateur vedette, Firefox, qui se voit donc désormais estampillé de la référence 2.0.0.7. Ce correctif vise principalement à combler une faille de sécurité liée à la fonctionnalité QuickTime Media Link de Quicktime, découverte il y a plus d'un an, dont les modalités d'exploitation ont été publiées voilà une semaine sur le Web. Certains auront sans doute déjà remarqué l'activation du module de mise à jour automatique. Pour les autres, cette nouvelle version est d'ores et déjà disponibles sur nos serveurs, via cette fiche pour Windows et Linux, ou cette autre fiche pour les amateurs de Mac OS.

Cette vulnérabilité aurait été décelée il y a environ un an par un chercheur anglais nommé Petko Petkov, qui fit à l'époque un rapport à . La mise à jour Quicktime distribuée en mars dernier visait notamment à combler cette vulnérabilité, mais n'aurait pas correctement envisagé l'éventualité dans laquelle le lecteur multimédia est appelé par Firefox dans les versions 2.0.0.6 et antérieures. La semaine dernière, ce chercheur a donc finalement décidé de publier sur son blog un « proof of concept », ou démonstration de l'existence de cette faille.

La vulnérabilité en question permettrait à un pirate mal intentionné d'envoyer à Quicktime du code Javascript, qui est alors interprété par le navigateur Internet de l'utilisateur. Jusqu'ici, l'utilisation de l'extension No Script pour Firefox permettait de se protéger de ce type de menace. Le problème se voit ainsi résolu par cette mise à jour du navigateur Mozilla. Petko Petkov entreprend maintenant de sensibiliser l'opinion au sujet d'une faille similaire permettant d'exploiter des vulnérabilités du moteur d'Internet Explorer à partir de fichiers multimédia appelés dans Windows Media Player, même si l'utilisateur ne surfe qu'avec Firefox, Opera ou tout autre navigateur...