Le gouvernement Allemand recommande aux utilisateurs de ne plus utiliser Firefox temporairement en raison d’une faille de sécurité critique non corrigée.
Récemment, je vous faisais part d’un 0-day sur IE6/7. Mettons de côté le fait que Evgeny Legerov (le chercheur Russe ayant découvert cette faille) a proposé de vendre le code qui lui a permis d’exploiter la faille à qui est intéressé, le constat est qu’à ce jour, Firefox 3.6 est également vulnérable à une faille divulguée, et que le correctif ne sera pas disponible avant Firefox 3.6.2 qui selon le planning de la Mozilla Foundation sera disponible avant fin mars.
Rappelons que le Gouvernement Allemand avait déjà émis une alerte vis a vis de Internet Explorer en Janvier à la suite de l’opération Aurora, et avait été suivi par le Gouvernement Français peu de temps après.
Tous les navigateurs web ont des failles de sécurité, et toutes les applications utilisant du contenu actif en ont potentiellement autant. Il est important de surveiller ces dernières et d’avoir une politique de patches et de mise à jour associée et éprouvée, c’est justement là que les choses se compliquent.
A votre domicile, il est relativement facile de changer de navigateur régulièrement, en fonction de vos humeurs, de vos besoins, ou … des failles de sécurité.
En entreprise, ce changement implique beaucoup de choses, et mettre à disposition des utilisateurs différents navigateurs vous oblige à envisager leur configuration globale, et de définir la stratégie d’application des correctifs de sécurité, ce qui est beaucoup plus complexe et ne peut s’effectuer en quelques jours. Envisager le changement de navigateur dans l’urgence risquerait de vous apporter également d’autres problèmes de sécurité, il est primordial lors de l’adoption d’un nouveau logiciel aussi critique qu’un navigateur web, mais également un lecteur PDF d’envisager les tenants et aboutissants de cette mise en place, dont la politique de patch associée. N’oubliez pas que laisser une application installée sur les machine en n’y associant pas les correctifs de sécurité représente un risque important pour votre organisation.
Cette vulnérabilité n’est pas la première pour Firefox, n’est pas non plus la dernière. Il en est de même pour les autres navigateurs. Avoir divers navigateurs approuvés peut être une bonne solution, mais ne comptez pas forcément sur vos utilisateurs pour utiliser l’un ou l’autre en fonction des failles de sécurité, et si vous souhaitez réellement avoir un porte-clé d’applications que vous activez en fonction des failles, il vous faudra appliquer une politique de contrôle d’applications qu’ici encore vous gérerez en fonction de vos besoins de sécurité.
Si vous ne pouvez pas attendre la disponibilité de la version stable de Firefox 3.6.2, il existe une version « Release Candidate », attention toutefois cette dernière n’a pas encore passé les tests qualité de la Mozilla Foundation. Elle est disponible ici : https:/ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/
Mise à jour : Mozilla a publié cette nuit la version 3.6.2 de Firefox, cette mise à jour est évidemment plus que recommandée aussi rapidement que possible. Elle est disponible ici
Si vous êtes intéressés par l’alerte du Bürgen-CERT, la voici (en allemand) :
Étiquettes : 0-Day, exploit, faille navigateur, navigateur web, sécurité, URLs malveillantes