Firefox : cette faille permet depuis 17 ans de voler des fichiers sur les PC

Une faille de sécurité de Firefox restée béante depuis 17 ans permet de voler des fichiers situés sur un PC distant. La vulnérabilité est exposée par Bartak Tawily, un chercheur en sécurité qui en a fourni une preuve de concept. Voici comment des personnes malintentionnées peuvent télécharger des données sur un PC à l'insu de l'utilisateur.

Firefox cookies

Mozilla multiplie les efforts pour faire de Firefox un navigateur sécurisé et le plus respectueux de la vie privée. Il n'empêche que plusieurs failles de sécurité y ont été découvertes ces derniers mois, les plus récentes remontant à deux semaines à peine. Un chercheur en sécurité vient de mettre le doigt sur une autre vulnérabilité tout aussi critique.

Firefox : une faille de sécurité vieille de 17 ans mis au jour

Un simple fichier HTML vérolé permet à l'attaquant d'accéder aux contenus d'un répertoire et de ses sous-répertoires sur un PC. La faille repose sur un défaut de Firefox dans sa manière de gérer des documents ou scripts chargés depuis une origine donnée. Ces règles de contrôle d'accès appelées « Same Origine Policy » (SOP) assurent qu'il ne soit pas possible d'accéder à un contenu d'une origine A depuis une origine B.

Le chercheur en sécurité explique que pour les origines situées non pas sur un serveur, mais en local (chemin de type file:///home/user/ etc.), Firefox présente un défaut qui permet d'afficher tous les fichiers situés dans un même répertoire, en l’occurrence celui où est stocké le fichier HTML malveillant. Il est également possible d'accéder à tous les sous-répertoires ainsi que les fichiers qu'ils contiennent.

D'après le chercheur Tawily, Firefox est le seul navigateur à ne pas avoir modifié l'implémentation non sécurisée du SOP. Les autres navigateurs, du moins ceux les plus connus, traitent les fichiers d'un même répertoire comme provenant d'une origine différente.

Lire aussiFirefox 67 est disponible, le navigateur devient 2 fois plus rapide

D'après le chercheur qui expose une preuve de concept de la vulnérabilité dans une note de blog, l'attaquant doit réussir à passer plusieurs étapes pour atteindre sa victime :  cette dernière doit avoir téléchargé un fichier HTML malveillant depuis un email ou par n'importe quel autre canal, elle doit ouvrir le fichier dans Firefox, cliquer sur un bouton piège qui permet au pirate d'accéder aux répertoires et sous-répertoires, voire récupérer des fichiers à souhait grâce à l’interface de programmation « Fetch API ».

Source : Barak Tawily sur GitHub


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Samsung lance le Galaxy A57 avec 120 € de réduction et une série de bonus

Le Galaxy A57 5G est enfin disponible en France. Pour marquer le coup, Samsung ne fait pas les choses à moitié : 120 € de remise immédiate sur la version…

Les ventes de Samsung et Xiaomi dégringolent, Google et Nothing en grande forme

Les smartphones Pixel et Nothing se vendent de mieux en mieux, tandis que les ventes de Xiaomi plongent. Samsung, Oppo et Vivo ne sont pas en forme non plus. Le…

Installez la mise à jour iOS 26.4.1 sur votre iPhone, elle répare ce bug bien embêtant

Apple a déployé la mise à jour vers iOS 26.4.1. Cette version corrige un problème empêchant la synchronisation des données de certaines apps via iCloud. Il y a deux semaines,…

Windows 11 : Microsoft explique comment il a redesigné le menu Démarrer

Microsoft revient sur les étapes de conception du nouveau menu Démarrer de Windows 11. De nombreux prototypes ont vu le jour avant d’arriver au résultat actuel. Le menu Démarrer est…

Sony, Samsung, Bose : Boulanger brade le son et les TV avec des offres choc à saisir ce week-end

Boulanger lance une nouvelle salve de promotions à durée limitée sur l’audio et les TV. Pour ces ventes flash, l’enseigne propose trois codes promo par palier en fonction du montant…

Samsung TQ55QN77F : avec 150 € de réduction, la TV NeoQLED passe à petit prix, vite !

Alors qu’elle est déjà en promotion, la TV NeoQLED Samsung TQ55QN77F est encore moins chère durant la vente flash Boulanger. Normalement en vente à 749 €, vous pouvez vous l’offrir…

JBL Tune 245 NC : des écouteurs sans fil avec réduction de bruit active à moins de 50 €, vite !

Vous cherchez désespérément des écouteurs sans fil pas chers avec un bon son et la réduction de bruit active ? Vous pensiez que c’était mission impossible ? Détrompez-vous ! Sur…

Ce rapport sans appel explique pourquoi l’IA en entreprise ne fonctionne pas vraiment

L’IA progresse, mais son adoption en entreprise reste un échec pour beaucoup. Un rapport pointe des lacunes profondes que l’argent seul ne peut pas résoudre. Les salariés en paient le…

IA

Amazon Luna, c’est (presque) fini : après Google Stadia, un autre “Netflix du jeu vidéo” se meurt

Amazon annonce de nombreux changements sur sa plateforme de cloud gaming Luna. Celle-ci perd de nombreuses fonctionnalités et perd presque tout son intérêt, signant une lente mort. En novembre 2023,…

C’est la pluie d’étoiles filantes à ne pas manquer en avril : voici quand et comment admirer les Lyrides en 2026

Avis à tous les amoureux de spectacles que nous offre à contempler la voûte céleste, les nuits qui raccourcissent inéluctablement ne vous empêcheront pas d’admirer la tête d’affiche de ce mois…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.