l'hebdo de la gravure

Il y a quelques jours, le leader mondial du logiciel publiait un bulletin d'alerte faisant état d'une vulnérabilité critique non corrigée
présente dans Windows 2000, XP, Server 2003 et également Vista. Cette vulnérabilité était même qualifiée de 0-day.


Erreur dans la gestion des fichiers Windows Animated Cursor
Microsoft annonçait dans son bulletin d'alerte 935423 qu'une personne mal intentionnée pouvait exécuter du code arbitraire à distance
sur la machine d'un utilisateur prise pour cible via un fichier à l'extension .ani spécialement conçu (les fichiers .ani sont des curseurs animés pouvant être utilisés en tant que pointeurs de souris).

Aujourd'hui nous apprenons que le navigateur web Firefox est lui aussi impacté par cette faille, tout comme son homologue IE7.
Mais à la différence de ce dernier qui fonctionne par défaut en mode protégé sous Vista, Firefox semble plus sensible à la faille.

Ainsi, si la faille ne permet pas sous IE7 de modifier les fichiers système, sous Firefox il est possible d'accéder à l'ensemble des fichiers du disque dur, fichiers système compris. Inquiétant...


Correctifs présents et futursMozilla annonce travailler sur la mise au point d'un correctif (bien que Microsoft ait déjà comblé la faille),
et également sur la possibilité d'exécuter Firefox sous Vista en mode protégé tout comme IE7.
Plus concrètement, il sera bientôt possible de lancer Firefox avec des privilèges d'exécution réduits, ce qui devrait limiter à l'avenir l'importance de nouvelles vulnérabilités.

Pour ceux que cela intéresse, les chercheurs de la société Determina ont publié  une vidéo montrant comment exploiter cette faille sous Vista à la fois sous IE7 et Firefox.

 

Source : generation-nt