Firefox : faille dans la gestion des images

Alex
Par Alex
Publié le 18 mai 2006 à 16h10
Une faille de sécurité vient d'être découverte dans la dernière version du navigateur Firefox, la 1.5.0.3. Cette vulnérabilité se situe au niveau de la façon dont le navigateur interprète les images associées à un lien hypertexte. Elle permet de piéger une image en faisant que le lien qui lui est associé lance une action sur la machine de l'utilisateur : ouverture du lecteur multimédia ou lancement du client de messagerie par exemple. Répétées, ces actions sont susceptibles d'entrainer le blocage de la machine par saturation des ressources : c'est ce que l'on appelle une attaque de « déni de service ».

Découverte par le SANS Institute, cette faille a été « testée » pour découvrir les dommages qu'elle était susceptible. La première exploitation, bien innocente, a consisté à lancer le lecteur multimédia et à lui faire jouer un son lors du clic sur une image/lien piégée. Les chercheurs sont ensuite parvenus à lancer plusieurs centaines de fois la commande qui sert à ouvrir le client de messagerie pour envoyer un email (commande mailto: en HTML), une requête largement suffisante pour paralyser la machine de l'utilisateur.

Dans la mesure où la commande utilisée permet d'ouvrir ou de lancer bien d'autres choses, le danger que représente cette faille est important, estiment ces chercheurs. Immédiatement prévenue, la fondation n'a pour le moment pas réagi. Pour se prémunir, l'utilisateur n'a guère le choix. Il peut désactiver la commande « mailto: » ou le support du javascript, mais ces parades ne garantissent pas totalement d'être à l'abri.
Alex
Par Alex
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles