blog ntic de revolunet

FireFox sous les bombes

Petit post trollesque… Depuis la découverte il y a quelques jours d’une faille plutot critique dans FireFox par hiredhacker.com, la fondation a tenté de corriger ce vilain bug qui permettait d’exposer tous les fichiers d’une machine à nimporte quel attaquant (/etc/passwd ?). Certes, le PC cible doit avoir certaines extensions installées pour que l’exploit fonctionne, mais quand meme, ce bug pourrait faire des dizaines de milliers de victimes potentielles. Et bien la fondation Mozilla a depuis sorti un patch, mais il se trouve qu’il n’empeche rien du tout LOL http://www.hiredhacker.com/2008/01/31/more-chrome-directory-traversing/

Seule solution pour se protégér : utiliser NoScript, ou, mieux, passer sous Lynx

La (longue) liste des plugins permettant cette exploitation : https://bugzilla.mozilla.org/attachment.cgi?id=300181

Ca me rappelle le bug affectant FireBug   http://www.frsirt.com/bulletins/9835