Faille ANI sous Windows : attention Firefox !

Microsoft corrigeait en début de semaine une faille critique dans ses systèmes Windows, faille résidant dans la prise en charge des curseurs animés (ANI) et pouvant permettre l'exécution de code à distance (voir Mise à jour anticipée pour faille Vista critique). Aujourd'hui, l'expert en sécurité ayant découvert cette vulnérabilité, vulnérabilité rappelons-le déjà exploitée par certains pirates, met en garde les utilisateurs du navigateur Firefox de la fondation . Ceux-ci sont effet plus menacés par cette faille que les utilisateurs d'Internet Explorer, du fait de l'absence de mode protégé pour Firefox.

Firefox utilise le même composant qu'Internet Explorer pour l'affichage des fichiers .ANI, mais comme il ne propose pas de mode de fonctionnement protégé, la faille du composant .ANI peut être utilisée pour modifier les fichiers systèmes. A l'inverse sous Internet Explorer, le pirate peut voir les fichiers systèmes en mettant la faille à profit mais il ne peut pas les modifier grâce au mode protégé, à condition que ce dernier soit actif.

Cette nouvelle démonstration prouve, si besoin, que Firefox n'est pas aussi imperméable aux problèmes de sécurité que certains voudraient bien le faire croire. Car quand les utilisateurs d'Internet Explorer profitent d'un mode de fonctionnement protégé, ceux de Firefox n'ont pas cet avantage. Naturellement, le patch Windows corrigeant la faille ANI permet aux utilisateurs de Firefox de surfer en toute tranquilité c'est pourquoi son installation est vivement recommandée. En attendant la fondation Mozilla examine la possibilité de supprimer le support des curseurs animés.