Actualités

Faille dans Mozilla et Firefox découverte

 Il existe une vulnérabilité assez particulière dans Mozilla et Firefox, qui repose sur une mauvaise gestion des certificats de sécurité.

 Il est en effet possible de charger un certificat racine  dans le magasin de certificats de l’ordinateur à l’insu de l’utilisateur (sans qu’apparaisse de boîte de dialogue normale). Il suffit pour cela que le type MIME spécifié soit “application/x-x509-email-cert”.

Ces certificats anormaux pourraient être injectés par des sites web malhonnêtes ou des mails au format HTML. Si ce certificat possède le même Distinguished Name qu’un certificat valide utilisé par un site sécurisé par SSL (connexions https) l’accès à ce site sera bloqué. Il s’agit donc d’une forme particulière de déni de service.

Remède : si vous rencontrez un cas où l’accès à un site sécurisé échoue avec apparition d’un code d’erreur -8182 (certificat invalide ou corrompu), supprimez ce certificat du magasin. Pour Mozilla, voir dans Edition, Préférences, Confidentialité et Sécurité, Gestion des certificats, Autorités. Pour Firefox aller dans Outils, Options, Avancées, Certificats…

Cette vulnérabilité ne semble pas avoir encore été utilisée.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1