mde11
05-09-2002, 01:36 AM
par Jerome Saiz.
Mozilla, le coeur de Netscape et de nombreux autres butineurs, permet à un pirate de consulter librement le disque dur de l'internaute. La faille a frappé Internet Explorer en février dernier, mais elle est plus sévère encore ici, et ne se limite pas seulement à Windows. Aucun correctif n'est disponible à ce jour.
Au mois de février dernier, Microsoft découvrait une faille dans le traitement de certaines requêtes XML par Internet Explorer. Cela permettait à n'importe quel site web de consulter le disque dur des internautes vulnérables, à condition de pouvoir localiser les fichiers visés sur le système de la victime. Aujourd'hui, la même faille est découverte dans exactement le même composant (XMLHttpRequest), mais sur Mozilla cette fois-ci. Et elle est bien plus grave : tous les fichiers sont exposés, et l'intrus peut naviguer dans le disque dur de sa victime ! (Démonstration).
Pire : Mozilla, en plus d'être lui-même un navigateur Open Source, et aussi le coeur de nombreux autres navigateurs, dont Netscape, Galeon ou Skipstone. Tous sont très présents sur de nombreuses plates-formes, dont le Macintosh, Linux, FreeBSD et de nombreux autres Unix libres ou assimilés.
Toutes les versions de Mozilla de la 0.9.7 à la 0.9.9 sont vulnérables, ainsi que Netscape 6.1 et plus. Et si la très médiatique version 1.0 de Mozilla, disponible depuis peu, n'est pas touchée, ce n'est que "grâce" à une erreur de programmation qui rend inutilisable le composant XMLHttpRequest.
Aucun correctif ne semble disponible à l'heure actuelle, et il est conseillé d'utiliser un autre navigateur en attendant la providentielle rustine.
Plus d'information :
Le site officiel de Mozilla.
Une démonstration de la faille, pour ceux qui utilisent Netscape 6.1 ou un navigateur basé sur Mozilla.
Mozilla, le coeur de Netscape et de nombreux autres butineurs, permet à un pirate de consulter librement le disque dur de l'internaute. La faille a frappé Internet Explorer en février dernier, mais elle est plus sévère encore ici, et ne se limite pas seulement à Windows. Aucun correctif n'est disponible à ce jour.
Au mois de février dernier, Microsoft découvrait une faille dans le traitement de certaines requêtes XML par Internet Explorer. Cela permettait à n'importe quel site web de consulter le disque dur des internautes vulnérables, à condition de pouvoir localiser les fichiers visés sur le système de la victime. Aujourd'hui, la même faille est découverte dans exactement le même composant (XMLHttpRequest), mais sur Mozilla cette fois-ci. Et elle est bien plus grave : tous les fichiers sont exposés, et l'intrus peut naviguer dans le disque dur de sa victime ! (Démonstration).
Pire : Mozilla, en plus d'être lui-même un navigateur Open Source, et aussi le coeur de nombreux autres navigateurs, dont Netscape, Galeon ou Skipstone. Tous sont très présents sur de nombreuses plates-formes, dont le Macintosh, Linux, FreeBSD et de nombreux autres Unix libres ou assimilés.
Toutes les versions de Mozilla de la 0.9.7 à la 0.9.9 sont vulnérables, ainsi que Netscape 6.1 et plus. Et si la très médiatique version 1.0 de Mozilla, disponible depuis peu, n'est pas touchée, ce n'est que "grâce" à une erreur de programmation qui rend inutilisable le composant XMLHttpRequest.
Aucun correctif ne semble disponible à l'heure actuelle, et il est conseillé d'utiliser un autre navigateur en attendant la providentielle rustine.
Plus d'information :
Le site officiel de Mozilla.
Une démonstration de la faille, pour ceux qui utilisent Netscape 6.1 ou un navigateur basé sur Mozilla.