Giganews Newsgroup
Merci Merci:  0
J'aime J'aime:  0
Je n'aime pas Je n'aime pas:  0
Affichage des résultats 1 à 1 sur 1

Discussion: Firefox MaJ

  1. #1
    Modérateur & VIP Honneur Avatar de Chtimi054
    Date d'inscription
    octobre 2015
    Localisation
    Lorraine 54
    Messages
    3 197

    Firefox MaJ

    Firefox : Mozilla corrigera demain une faille critique dans la gestion des certificats

    cette news a ete postée HIER sur le site Nextinpact !

    Firefox MaJ-12002.jpg

    Mozilla travaille actuellement à la résolution d’une faille de sécurité importante dans Firefox. Difficile à exploiter, elle pourrait permettre à des pirates en ayant les moyens de déclencher une attaque de type « homme du milieu » à l’aide d’un faux certificat. Le correctif devrait être disponible demain.

    La faille a été repérée la semaine dernière par un chercheur en sécurité, « movrcx ». Son billet concernait avant tout Tor Browser, dont les développeurs ont publié une nouvelle version vendredi. Estampillée 6.0.5, elle colmate la brèche dont les détails ont été fournis dans le même temps à Mozilla. Dangereuse, la vulnérabilité peut être exploitée sur n’importe quelle plateforme, mais pas de manière simple.
    Une brèche dans un mécanisme de protection

    Même si les détails précis ne sont encore pas tout à fait connus, on dispose des grandes lignes exposées par plusieurs chercheurs et dans le billet de Tor. La brèche permet de contourner le mécanisme dit de « certificate pinning », qui permet normalement aux navigateurs de se prémunir contre les usurpations d’identité, dans le cas où une autorité de certificat aurait été piratée. Quand une première connexion sécurisée s’établit avec un site, celui-ci présente une liste des certificats de confiance. Si lors d’une connexion ultérieure, un certificat est inconnu, elle ne pourra pas s'établir.

    Selon le chercheur en sécurité Ryan Duff, la protection mise en place par Firefox ne fonctionne pas dans le cas d’un certificat créé à partir d’une autorité piratée. En temps normal, le navigateur ne devrait pouvoir accepter qu’un certificat correspondant à un domaine ou à un sous-domaine spécifique, en rejetant tous les autres. Malheureusement, un pirate peut exploiter une certaine forme de clé statique qui n’est pas basée sur le protocole HTTP Public Key Pinning (HPKP), Firefox ne géant pas correctement la date d’expiration des certificats.
    Le correctif sera diffusé demain

    La faille a été exposée pour la première dans le billet de movrcx mardi dernier. Elle était alors annoncée comme fonctionnant sur toutes les versions de Tor Browser, quelle que soit la plateforme. Les développeurs de ce dernier ont rapidement réagi, publiant vendredi l’annonce, les informations entourant la vulnérabilité et une nouvelle version du navigateur.

    Dans la même journée, Mozilla a réagi. L’éditeur a indiqué que la faille résidait bien dans Firefox (qui sert de base technique à Tor Browser), qu’elle avait été inspectée et qu’un correctif serait diffusé le 20 septembre, c’est-à-dire demain. Le mécanisme déficient a en fait été déjà corrigé dans la Developer Edition du navigateur publiée le 4 septembre, mais le problème des dates d’expiration se retrouve aussi dans les versions classiques et ESR (Extended Support Release). En clair, toutes les versions actuelles de Firefox sont concernées.

    100 000 dollars pour une exploitation multiplateforme

    Dans le cas le plus grave, un pirate pouvait exploiter cette expiration prématurée des certificats pour faire passer un serveur comme faisant partie de ceux alimentant le service de Mozilla pour la distribution des extensions (addons.mozilla.org). L’éditeur a annoncé en conséquence que le protocole HPKP avait été activé sur son serveur, de manière à ce que les utilisateurs restent protégés.

    Cependant, un groupe de pirates qui en aurait suffisamment les moyens (techniques et financiers), comme ceux soutenus par les États, pourraient très bien parvenir à leurs fins. Même si la faille n’est pas simple à exploiter, le risque zéro n’existe pas. Selon le découvreur de la faille, un budget de 100 000 dollars serait nécessaire pour utiliser la faille et lancer une attaque multiplateforme, avec à la clé un vol d’informations et/ou une exécution de code arbitraire.
    En attendant la mise à jour de Firefox, mieux vaut ne pas l'utiliser

    La mesure idéale de protection est donc d’utiliser un autre navigateur jusqu’à demain, quand la nouvelle version de Firefox sera disponible. Si vous utilisez Tor Browser, la récente version 6.0.5 vous protège contre toute exploitation. Si vous n’avez pas encore fait la mise à jour, les développeurs de Tor encouragent à la télécharger le plus rapidement possible.


    merci à NextInpact

  2. # ADS
    Circuit publicitaire Firefox MaJ
    Date d'inscription
    Toujours
    Localisation
    Monde des annonces
    Messages
    Plusieurs


     

Discussions similaires

  1. Réponses: 8
    Dernier message: 14/06/2017, 13h19
  2. Réponses: 0
    Dernier message: 31/05/2017, 18h07
  3. 7 et 8.1 MAJ Rollups
    Par Chtimi054 dans le forum News de la toile
    Réponses: 0
    Dernier message: 20/10/2016, 08h11
  4. Mysterieuse MaJ
    Par Chtimi054 dans le forum News de la toile
    Réponses: 2
    Dernier message: 20/02/2016, 22h55
  5. Firefox et ces MaJ
    Par Chtimi054 dans le forum News de la toile
    Réponses: 0
    Dernier message: 06/02/2016, 07h39

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •