Vulnérabilité critique dans Firefox 3.5 et Firefox 3.6
Mise à jour (27 oct. 2010 @ 20h12) :
Un correctif pour cette vulnérabilité a été publié pour les utilisateurs de Firefox et Thunderbird.
Les mises à jour de sécurité de Firefox 3.6.12 et 3.5.15 sont maintenant disponibles.
Les mises à jour de sécurité de Thunderbird 3.1.6 et 3.0.10 sont maintenant disponibles.
Problème
Mozilla a été informé d’une vulnérabilité critique affectant les utilisateurs de Firefox 3.5 et Firefox 3.6. Nous avons reçu des rapports de plusieurs entreprises de recherche en sécurité que du code d’exploit tirant profit de cette vulnérabilité a été détecté dans la nature.
Impact pour les utilisateurs
Les utilisateurs qui ont visité un site infecté ont pu être affectés par le malware grâce à la vulnérabilité. Le cheval de Troie a été initialement signalé comme actif sur le site du Prix Nobel de la paix et ce site spécifique est maintenant bloqué par la protection anti-malware intégré à Firefox. Cependant, le code d’exploit pourrait être encore actif sur d’autres sites Web.
État
Nous avons diagnostiqué le problème et sommes en train de développer un correctif qui sera sorti pour les utilisateurs de Firefox dès que le correctif aura été convenablement testé.
En attendant, les utilisateurs peuvent se protéger en faisant une des actions suivantes :
- Désactiver le JavaScript dans Firefox ;
- Utiliser l’extension NoScript.
Crédit
Morten Kråkvik de Telenor SOC
—
Brandon Sterne
Man-in-the-middle