Firefox passe en 2.0.0.6 et corrige la faille URI

Les utilisateurs de Firefox 2 auront sans doute remarqué ce matin que le module de mise à jour automatique du logiciel leur suggérait l'installation d'une nouvelle mise à jour, estampillée 2.0.0.6. Proposée au téléchargement moins d'un mois après la sortie de la précédente version du navigateur, cette mise à jour vient corriger la faille relative à l'identifiant de ressource « firefoxurl:// » découverte mi-juillet. Cet identifiant de ressources (URI, ou Uniform Resource Identifier) est par exemple utilisé par le logiciel pour lancer une application tierce à partir d'un lien placé sur une page Web.

Cette faille a récemment fait l'objet d'une controverse entre et Microsoft. Lors de sa découverte, celle-ci impliquait l'utilisation conjointe d'Internet Explorer et de Firefox. Pour l'exploiter, il fallait d'abord charger un lien corrompu dans Internet Explorer, puis envoyer les informations à Firefox, qui se révélait alors susceptible de lancer un logiciel sans le consentement de l'utilisateur. La première réponse de Mozilla fut d'expliquer que seul Internet Explorer était à blamer, mais la fondation est ensuite rapidement revenue sur sa position pour reconnaitre que Firefox était également concerné. D'où cette correction, qui devrait rapidement être portée sur Thunderbird et Seamonkey.

Un rapport de l'US Cert daté du 27 juillet soulève toutefois une nouvelle problématique : cette faille pourrait en effet être inhérente à Windows, à partir du moment où Internet Explorer 7 est installé sur le système. La denrière version du navigateur aurait en effet modifié la façon dont Windows interprète les protocoles d'appel aux applications tierces, telles que la fonction « mailto: » censée ouvrir le client de messagerie. Via cette faille, il serait possible de faire appel à une application autre que celle à laquelle est normalement destiné l'URI.

• Télécharger Firefox 2.0.0.6 pour Windows et Linux
• Télécharger Firefox 2.0.0.6 pour Mac