Encore une faille découverte dans Internet Explorer et Firefox me direz-vous? Non, en fait cette fois il s'agit d'une vulnérabilité de Firefox et Internet Explorer combinés.

Les deux navigateurs se rejettent la faute! Pour comprendre et se faire une idée, voilà ce qui se passe : Firefox, lors de son installation, installe un gestionnaire d'IRL (pour simplifier, c'est comme un gestionnaire d'URL), appelé firefoxurl:// (comme http:// ou ftp://). Le problème vient du fait que si Internet Explorer tente d'ouvrir une URL de ce type, lors du clic sur un lien ou bien simplement dans une iframe, il lancera automatiquement Firefox, avec s'il le souhaite des paramètres supplémentaires dans l'url, tels l'appel de l'expression -chrome (propre à la configuration système de Firefox) et par la même occasion certains scripts malveillants!

Qui est le coupable? D'un coté Internet Explorer qui ne vérifié pas ce qui sort, de l'autre, Firefox qui ne vérifie pas ce qui entre. L'un et l'autre se renvoient la balle, et Mozilla a confirme que si vous utilisez Firefox pour naviguer, vous êtres à l'abri de toute attaque. Si vous souhaitez en savoir un peu plus, n'hésitez pas à lire cet article de Thor Larholm, pour peu que vous ne soyiez pas anglophobe!

La faille sera corrigée dans le prochain Firefox 2.0.0.5, tout comme le seront semble-t-il les deux précédentes découvertes il y a peu.

Libellés : Failles, Firefox 2, Sécurité