Firefox a un coup de barre
Un jeune chercheur américain, Christopher Soghoian, vient de découvrir une vulnérabilité affectant Firefox, ou plus exactement le mécanisme de mise à jour utilisé par bon nombre d'« extensions Firefox ». Les Google Toolbar et autres avertisseurs de sécurité Netcraft ou Phishtank peuvent paradoxalement se transformer en mécanisme d'injection de code indésirable. Window Snider, la patronne de l'équipe sécurité de la Fondation, demande donc aux développeurs d'extensions d'utiliser impérativement une liaison SSL au moment de la mise à jour de l'add-in en question. Autre faille Firefox, moins dangereuse, découverte cette fois par Sergey Vzloman et localisable grâce au PoC publié sur le sithe Ha.cker : l'exploitation du défaut peut conduire à une divulgation d'informations. Thor Larholm, qui n'avait pas fait parler de lui depuis longtemps, explique comment utiliser l'exploit et déplore un colmatage imparfait, qui laisse vulnérable les Macintosh sous OS/X.
