Source Info du net
Full Version: Problème de sécurité dans Mozilla et Firefox
| QUOTE |
| Un gros problème de sécurité vient d'être découvert dans Mozilla, ce qui concerne aussi par conséquent Firefox. En effet, avec ce navigateur il est possible de créer une page web avec une fausse URL. Il devient ainsi possible pour un pirate de créer, par exemple, une page web identique à celle de votre banque en ligne et d'usurper son URL pour tromper même l'internaute le plus vigilant. Le plus grâve est qu'aucune solution n'a pour l'instant été trouvée car ce n'est pas vraiment une faille dans Mozilla mais plutot une utilisation "normale" du nouveau langage de conception d'interface intégré au navigateur : XUL (l'interface même de Mozilla est faite en XUL ce qui lui permet de conservé un même aspect quelque soit l'OS). Pour usurper l'adresse d'un site, le pirate créé un programme en XUL qui dessine de toute pièce une nouvelle fenêtre du navigateur, en profitant pour falsifier la barre d'adresse. Cette technique permet aussi de créer de faux certificats de sécurité (voir la démonstration et les captures) ainsi que tout autres boites grâce auxquels on aurait pu identifié la page. Ce problème ne touche pas tous les navigateurs libres : par exemple Konqueror n'a pas ce probème. Internet Explorer n'est biensur pas touché. Démonstration pour les utilisateurs de Firefox 0.9 et supérieur Capture d'écran pour les utilisateurs d'autres navigateurs |
En esperant qu'il corrige cette faille rapidement
Dans tous les cas Mozilla/firefox reste largement plus sur que IE qui est une vrai passoir
| QUOTE |
| Mozilla / Firefox Certificate Store Corruption Vulnerability Date de Publication : 2004-07-16 © K-OTik.COM - Voir Notice Légale Titre: Mozilla / Firefox Certificate Store Corruption Vulnerability K-OTik ID : 0678 Risque : Moyen Exploitable à distance : Oui Exploitable en local : Oui * Description Technique - Exploit * Une vulnérabilité a été identifiée dans Mozilla/Firefox, elle pourrait être exploitée par un attaquant distant afin de causer un Déni de Service. Le problème se situe au niveau de la gestion des certificats, ce qui pourrait être exploité via un MIME type "application/x-x509-email-cert" afin d'importer un certificat sans l'interaction de l'utilisateur. Ce certificat "malicieux" peut par exemple bloquer l'accès à un site SSL (s'il a le même DN -Distinguished Name- que le certificat installé). * Versions Vulnérables * Mozilla versions 1.6.x et 1.7.x (Windows et Linux) Firefox versions 0.8 et 0.9.2 (Windows et Linux) * Solution * Aucune solution officielle pour l'instant. * Références * http://www.k-otik.com/bugtraq http://bugzilla.mozilla.org/show_bug.cgi?id=249004 http://secunia.com/advisories/12076/ * Crédits * Vulnérabilité découverte par Marcel Boesch (Juillet 2004) © K-OTik.COM |
Source : http://www.k-otik.net/bugtraq/07162004.Mozilla.php
J'espere aussi que ceci va vite etre corrigé
vous pouvez m'explique plus simplement svp car j'utilse mozilla et j'ai rien compris a votre truc
En gros ca veut dire que tous les programmes ont leurs failles. Dans tous les cas t'inquiete pas trop, c'est pas parce qu'une faille existe qu'elle sera exploité à grande echelle. Il suffit de voir les utilisateur satisfait de IE malgre les tres (tres) nombreuses failles decouverte, ils ont juste pas (encor) rencontré de probleme de securité (virus,troyen,spyware..) les exploitant.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.