Firefox : cette faille permet depuis 17 ans de voler des fichiers sur les PC

Une faille de sécurité de Firefox restée béante depuis 17 ans permet de voler des fichiers situés sur un PC distant. La vulnérabilité est exposée par Bartak Tawily, un chercheur en sécurité qui en a fourni une preuve de concept. Voici comment des personnes malintentionnées peuvent télécharger des données sur un PC à l'insu de l'utilisateur.

Firefox cookies

Mozilla multiplie les efforts pour faire de Firefox un navigateur sécurisé et le plus respectueux de la vie privée. Il n'empêche que plusieurs failles de sécurité y ont été découvertes ces derniers mois, les plus récentes remontant à deux semaines à peine. Un chercheur en sécurité vient de mettre le doigt sur une autre vulnérabilité tout aussi critique.

Firefox : une faille de sécurité vieille de 17 ans mis au jour

Un simple fichier HTML vérolé permet à l'attaquant d'accéder aux contenus d'un répertoire et de ses sous-répertoires sur un PC. La faille repose sur un défaut de Firefox dans sa manière de gérer des documents ou scripts chargés depuis une origine donnée. Ces règles de contrôle d'accès appelées « Same Origine Policy » (SOP) assurent qu'il ne soit pas possible d'accéder à un contenu d'une origine A depuis une origine B.

Le chercheur en sécurité explique que pour les origines situées non pas sur un serveur, mais en local (chemin de type file:///home/user/ etc.), Firefox présente un défaut qui permet d'afficher tous les fichiers situés dans un même répertoire, en l’occurrence celui où est stocké le fichier HTML malveillant. Il est également possible d'accéder à tous les sous-répertoires ainsi que les fichiers qu'ils contiennent.

D'après le chercheur Tawily, Firefox est le seul navigateur à ne pas avoir modifié l'implémentation non sécurisée du SOP. Les autres navigateurs, du moins ceux les plus connus, traitent les fichiers d'un même répertoire comme provenant d'une origine différente.

Lire aussiFirefox 67 est disponible, le navigateur devient 2 fois plus rapide

D'après le chercheur qui expose une preuve de concept de la vulnérabilité dans une note de blog, l'attaquant doit réussir à passer plusieurs étapes pour atteindre sa victime :  cette dernière doit avoir téléchargé un fichier HTML malveillant depuis un email ou par n'importe quel autre canal, elle doit ouvrir le fichier dans Firefox, cliquer sur un bouton piège qui permet au pirate d'accéder aux répertoires et sous-répertoires, voire récupérer des fichiers à souhait grâce à l’interface de programmation « Fetch API ».

Source : Barak Tawily sur GitHub


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

L’iPhone 18 Pro Max ferait mieux que le Galaxy S26 Ultra sur ce point crucial

Selon un leaker reconnu, Apple pourrait dépasser le Galaxy S26 Ultra de Samsung avec son iPhone 18 Pro Max. Du moins sur cet aspect auquel les utilisateurs sont très attentifs….

Les Xiaomi 17 et Xiaomi 17 Ultra se dévoilent dans toutes leurs couleurs

Une fuite révèle les différents coloris des Xiaomi 17 et Xiaomi 17 Ultra telles que nous les verrons en Europe très bientôt. Voici ce que les deux smartphones haut de…

Pas de RTX 5000 Super cette année ni de RTX 6000 en 2027, Nvidia repousse tous ses projets à cause de l’IA

Les plans de Nvidia pour 2026 se confirment et se résument en deux mots : intelligence artificielle. Le constructeur aurait en effet décidé ne lancer aucune carte graphique cette année,…

HBO va adapter Baldur’s Gate 3 en série, avec le showrunner de The Last of Us aux commandes

Après le succès de la série The Last of Us, HBO est désormais bien décidé à poursuivre sur la voie des adaptations de jeu vidéo. La prochaine sur la liste…

Cet ingrédient toxique du sol martien pourrait faciliter sa colonisation

Construire une base sur Mars nécessitera d’utiliser les ressources disponibles sur place. Des chercheurs explorent une piste aussi surprenante que risquée. Un composant toxique du sol pourrait devenir un atout…

Les écouteurs sans fil Sony WF-1000XM6 ont une date de sortie, la voici

Après des années d’attente, les successeurs des excellents écouteurs sans fil de Sony, les WF-1000XM5, ont enfin une date de sortie officielle. Bonne nouvelle : vous n’allez pas attendre longtemps….

Interdiction des réseaux sociaux : voici comment le gouvernement va s’assurer que votre enfant n’aille pas sur TikTok

Dans une interview, Emmanuel Macron a enfin donné quelques précisions sur les méthodes qui seront employées pour vérifier l’âge des utilisateurs de réseaux sociaux. Tout en se montrant rassurant quant…

Meta veut concurrencer Sora avec une application Vibes 100 % IA

Meta ne compte pas laisser le champ libre à la concurrence dans le domaine des vidéos générées par IA. Face à l’essor de Sora, l’entreprise accélère le développement de Vibes….

Cette faille de WinRAR est toujours exploitée activement, mettez le programme à jour

Un nouveau groupe de pirates rejoint la liste de ceux qui se servent d’une faille critique de WinRAR pour infecter des ordinateurs à distance. Elle a été corrigée depuis longtemps,…

Google menace ChatGPT avec Gemini, voici combien d’utilisateurs l’IA a conquis

L’intelligence artificielle devient un terrain de rivalité intense entre les géantes entreprises du numérique. Google mise gros sur Gemini pour rattraper son principal concurrent, ChatGPT. Cette stratégie commence enfin à…

IA

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.