Mise à jour (27 oct. 2010 @ 20h12) :

Un correctif pour cette vulnérabilité a été publié pour les utilisateurs de Firefox et Thunderbird.

Les mises à jour de sécurité de Firefox 3.6.12 et 3.5.15 sont maintenant disponibles.

Les mises à jour de sécurité de Thunderbird 3.1.6 et 3.0.10 sont maintenant disponibles.

Problème

Mozilla a été informé d’une vulnérabilité critique affectant les utilisateurs de Firefox 3.5 et Firefox 3.6. Nous avons reçu des rapports de plusieurs entreprises de recherche en sécurité que du code d’exploit tirant profit de cette vulnérabilité a été détecté dans la nature.

Impact pour les utilisateurs

Les utilisateurs qui ont visité un site infecté ont pu être affectés par le malware grâce à la vulnérabilité. Le cheval de Troie a été initialement signalé comme actif sur le site du Prix Nobel de la paix et  ce site spécifique est maintenant bloqué par la protection anti-malware intégré à Firefox. Cependant, le code d’exploit pourrait être encore actif sur d’autres sites Web.

État

Nous avons diagnostiqué le problème et sommes en train de développer un correctif qui sera sorti pour les utilisateurs de Firefox dès que le correctif aura été convenablement testé.

En attendant, les utilisateurs peuvent se protéger en faisant une des actions suivantes :

Crédit

Morten Kråkvik de Telenor SOC

Brandon Sterne
Man-in-the-middle

Source

Mozilla Security Blog, Critical vulnerability in Firefox 3.5 and Firefox 3.6, 26 oct. 2010, Brandon Sterne