Home »

par Jerome Saiz.

Mozilla, le coeur de Netscape et de nombreux autres butineurs, permet à un pirate de consulter librement le disque dur de l'internaute. La faille a frappé Internet Explorer en février dernier, mais elle est plus sévère encore ici, et ne se limite pas seulement à Windows. Aucun correctif n'est disponible à ce jour.

Au mois de février dernier, Microsoft découvrait une faille dans le traitement de certaines requêtes XML par Internet Explorer. Cela permettait à n'importe quel site web de consulter le disque dur des internautes vulnérables, à condition de pouvoir localiser les fichiers visés sur le système de la victime. Aujourd'hui, la même faille est découverte dans exactement le même composant (XMLHttpRequest), mais sur Mozilla cette fois-ci. Et elle est bien plus grave : tous les fichiers sont exposés, et l'intrus peut naviguer dans le disque dur de sa victime ! (Démonstration).

Pire : Mozilla, en plus d'être lui-même un navigateur Open Source, et aussi le coeur de nombreux autres navigateurs, dont Netscape, Galeon ou Skipstone. Tous sont très présents sur de nombreuses plates-formes, dont le Macintosh, Linux, FreeBSD et de nombreux autres Unix libres ou assimilés.

Toutes les versions de Mozilla de la 0.9.7 à la 0.9.9 sont vulnérables, ainsi que Netscape 6.1 et plus. Et si la très médiatique version 1.0 de Mozilla, disponible depuis peu, n'est pas touchée, ce n'est que "grâce" à une erreur de programmation qui rend inutilisable le composant XMLHttpRequest.

Aucun correctif ne semble disponible à l'heure actuelle, et il est conseillé d'utiliser un autre navigateur en attendant la providentielle rustine.

Plus d'information :

Le site officiel de Mozilla.

Une démonstration de la faille, pour ceux qui utilisent Netscape 6.1 ou un navigateur basé sur Mozilla.