Une faille extremement critique vient d'être découverte (le 23/09/2005) dans l'ensemble des navigateurs Mozilla, y compris Mozilla Firefox. Elle permet d'accéder à un système vulnérable grâce à l'injection de commandes Shell dans les URL de la ligne de commandes.
Description de la faille :
Peter Zelezny a découvert une vulnérabilité dans Mozilla, celle-ci pourrait être exploitée par des personnes malicieuses afin de compromettre le système d'un utilisateur.
La vulnérabilité est due au script shell utilisé pour lancer Mozilla qui analyse les commandes shell insérées entre des guillemets simples inversés dits « backticks » (`) dans l'URL spécifiée via la ligne de commandes. Cela pourrait par exemple être exploité afin d'exécuter des commandes shell arbitraires en incitant un utilisateur à suivre un lien malicieux dans une application externe qui utilise Mozilla comme navigateur par défaut (comme certains clients mail).
Versions touchées :
Cette faille touche les versions de Mozilla Firefox inférieures à la 1.0.6 et de Mozilla inférieures à la 1.7.11.
La vulnérabilité ne peut être exploitée que sur les systèmes Unix et Linux.
Correctif et Protection :
Mettre à jour votre version de Mozilla :
Mozilla : http://www.mozilla.org/products/mozilla1.x/ (version 1.0.7)
Mozilla Firefox : http://www.mozilla.org/products/firefox/ (version 1.7.12)