Firefox 2.0.6
Par Bertrand Arquilliere le mardi 31 juillet 2007, 09:17 - Sécurité des SI - Lien permanent
Firefox 2.0.6 est sorti, corrigeant la faille des URI qui avait été découverte dans la version 2.0.5.
Vous pouvez attendre la mise à jour automatique, ou bien cliquez sur le "?" dans la barre des menus puis cliquer sur "Rechercher les mises à jour".
Vous pouvez aussi cliquez sur votre OS pour effectuer la mise à jour manuellement :
Ayant fait la mise à jour, je vais de ce pas vérifier que la faille permettant le vol de mot de passe est-elle aussi (re)corrigée par cette nouvelle release.
Bonne mise à jour !
EDIT : Après un test, la faille permettant le vol de mot de passe des utilisateurs Firefox présente sous Firefox 2.0.5 est toujours présente dans la version 2.0.6. Je me permets donc de vous renvoyer au billet sur la faille de Firefox 2.0.5 ainsi qu'au Proof of Concept présent dans mes liens.
Les recommandations restent donc les mêmes : N'enregistrez pas vos mots de passe, ne suivez pas de lien reçu par mail lorsque vous ne connaissez pas l'émetteur et préférez tapez à la main l'URL si vous voulez vraiment vous rendre sur le site. Et enfin installez "NoScript", une excellente extension de Firefox qui vous mettra à l'abri de bien des soucis.
Afin de vous protéger de la faille présente dans la version 2.0.5, vous pouvez aussi éditer votre configuration de Firefox, pour ce faire, dans la barre d'URL, tapez "l'adresse" suivante : about:config
Dans le filtre tapez : protocol
Et enfin, mettez à la valeur false tous les paramètres commençant par :
network.protocol-handler.external. et network.protocol-handler.external-default.
Si cette configuration est trop contraignante pour votre travail, vous pouvez aussi faire en sorte que Firefox vous prévienne avant de lancer une application externe, vous évitant ainsi de mauvaises surprises.
Afin d'être prévenu lorsque Firefox tente de lancer une application externe et donner votre accord (ou pas) : mettez à true les valeurs network.protocol-handler.warn-external-default et toutes celles qui commence par network.protocol-handler.warn-external..
Pour changer la valeur d'un paramètre : double-cliquez dessus.
Cette configuration vous évitera, lorsque vous surfez sur des sites contenant du code malicieux exécutant des commandes sur votre machine, d'en subir les conséquences : envoi d'un email vers un pirate (il récupère ainsi votre adresse email), ouverture de port sur votre machine, installation de trojan ... ect.
Bien entendu cette méthode doit être cumulée avec des applications anti-virus et anti-trojan (kaspersky par exemple), anti-spywares (ad-aware 2007 par exemple).
Bon surf en toute tranquilité avec Firefox et "NoScript"
