Firefox 2.0.0.5 : une faille qui révèle les mots de passe

Statut
N'est pas ouverte pour d'autres réponses.
Noir

Noir

Never forget who i am !
Si l’on en croit la mailing list Full-Disclosure, une faille a été trouvée sous Firefox. Il s’agit, selon Heise Security, d’une rémanence d’une faille corrigée en novembre dernier. Elle permet, si elle est exploitée, de voler l’ensemble des mots de passe enregistrés d’un utilisateur, mais uniquement avec les conditions suivantes :

  • L’enregistrement des mots de passe doit être justement activé
  • Le JavaScript doit également être activé

Malheureusement, ces deux conditions sont réunies dans la plupart des cas, et surfer sur une page web malveillante pourrait révéler à un utilisateur distant l’ensemble des mots de passe.

Lire la suite


Prudence donc pour les utilisateurs, javascript est bien souvent ouvert sur des sites de crack et je suis sûr que bcp active la fonction d'enregistrement des mots de passe.
 
Oubi

Oubi

All Shook up !!!
Syndrome IE pour Firefox... finie l'époque ou les mises a jour n'entrainaient pas de bugs plus importants que la version précédente...
 
ImMorT4L

ImMorT4L

Touriste
Oubi a dit:
Syndrome IE pour Firefox... finie l'époque ou les mises a jour n'entrainaient pas de bugs plus importants que la version précédente...
Cliquez pour agrandir...
Un bug qui dure quelques jours n'est pas bien méchant... Le pire, c'est quand ce genre de faille perdure quelques semaines, là ça devient inquiétant. :-D
 
Bingo

Bingo

Beer Addict
Un bug exploitable sur une simple page web avec du javascript, c'est quand même inquiétant...
Je les utilise moi les mots de passe stockés ! Et j'ai le javascript activé !

:colere:
 
PPT

PPT

Did you ever see a lama kiss a lama on a lama?
Noscript for life :-D
 
Bingo

Bingo

Beer Addict
PPT a dit:
Noscript for life :-D
Cliquez pour agrandir...
Ouais, ben c'est pas toujours possible !
En l'occurence moi c'est pas possible.

Je pourrais ne pas stocker mes mots de passe par contre...
 
Z

zoune

ex membre
Arf, à nouveau cette faille, décidément :-(
Je pense que dorénavant, j'attendrai un peu avant de faire la mise à jour de ce navigateur, ou je vais penser à switcher tout doucement, soit sur Safari, soit Opera.

Tant pis pour les habitudes que j'ai avec FF

EDIT : Enfin bon, faut relativiser car :
La faille ne peut être exploitée que si un mot de passe (ou plusieurs) est enregistré sur le site malveillant, ce qui limite son impact.
Cliquez pour agrandir...
 
PPT

PPT

Did you ever see a lama kiss a lama on a lama?
Bingo a dit:
En l'occurence moi c'est pas possible
Cliquez pour agrandir...
Ah bon? Pourquoi, si ce n'est pas indiscret... o_O
Au fait, rien à voir mais j'adore ton avatar... et ce qui est normalement en dessous :D
 
Bartdude

Bartdude

Touriste
Si j'en crois cet article, la situation n'est pas aussi dramatique qu'il n'y paraît. Afin de voler les infos de login sur un domaine X ou Y, il faut apparament au hacker placer une page scriptée sous ce même nom de domaine. Ca demande donc un accès au serveur malgré tout, et ca ne vole "que" les données propres au site en question.
Donc ne paniquez quand-même pas trop... tous les kékés du coin n'ont pas la possibilité de voler d'un seul coup toutes vos données de login en rajoutant 4 lignes de javascript à sa page perso...
 
Bingo

Bingo

Beer Addict
PPT a dit:
Ah bon? Pourquoi, si ce n'est pas indiscret...
Cliquez pour agrandir...
Ben parce que je développe des applications en AJAX. Enfin pas moi mais l'équipe dans laquelle je travaille.
Du coup sans Javascript c'est pas évident !

Au fait, rien à voir mais j'adore ton avatar... et ce qui est normalement en dessous
Cliquez pour agrandir...
Rien à voir effectivement, mais tu es un homme de goût ! ;)
 
Bartdude

Bartdude

Touriste
PPT a dit:
Ah bon? Pourquoi, si ce n'est pas indiscret... o_O
Au fait, rien à voir mais j'adore ton avatar... et ce qui est normalement en dessous :D
Cliquez pour agrandir...
Le net sans javascript, quelle horreur ! C'est aussi pratique que prendre un scooter pour faire de la trotinette...
 
Z

zoune

ex membre
Bartdude a dit:
Le net sans javascript, quelle horreur ! C'est aussi pratique que prendre un scooter pour faire de la trotinette...
Cliquez pour agrandir...
Pas mal dit ;)
 
Bingo

Bingo

Beer Addict
Bartdude a dit:
Si j'en crois cet article, la situation n'est pas aussi dramatique qu'il n'y paraît. Afin de voler les infos de login sur un domaine X ou Y, il faut apparament au hacker placer une page scriptée sous ce même nom de domaine. Ca demande donc un accès au serveur malgré tout, et ca ne vole "que" les données propres au site en question.
Donc ne paniquez quand-même pas trop... tous les kékés du coin n'ont pas la possibilité de voler d'un seul coup toutes vos données de login en rajoutant 4 lignes de javascript à sa page perso...
Cliquez pour agrandir...
Ouais, mais le problème reste entier sur les sites communautaires, avec un nom de domaine du style http://users.skynet.be/~toto/ par exemple.
Dans ce cas là, l'utilisateurs foo peut placer un formulaire de login sur sa page http://users.skynet.be/~foo/ et avoir accès aux mots de passe enregistrés sur http://users.skynet.be/~toto/.

C'est ce que j'ai cru comprendre du moins !
 
Z

zoune

ex membre
En gros, il suffit d'utiliser la fonction de gestion des mots de passe pour avoir un risque sur un site quelconque. En tout cas selon le site de pcinpact, source de noir.
 
Bartdude

Bartdude

Touriste
Bingo a dit:
Ouais, mais le problème reste entier sur les sites communautaires, avec un nom de domaine du style http://users.skynet.be/~toto/ par exemple.
Dans ce cas là, l'utilisateurs foo peut placer un formulaire de login sur sa page http://users.skynet.be/~foo/ et avoir accès aux mots de passe enregistrés sur http://users.skynet.be/~toto/.

C'est ce que j'ai cru comprendre du moins !
Cliquez pour agrandir...
Ouaip ca me paraît déductible de l'article aussi. Mais pas mal de sites communautaires empêchent le javascript par exemple...
 
Bingo

Bingo

Beer Addict
Bartdude a dit:
Ouaip ca me paraît déductible de l'article aussi. Mais pas mal de sites communautaires empêchent le javascript par exemple...
Cliquez pour agrandir...
Yep. Enfin maintenant que je sais où est la faille, je suis serein.
 
PPT

PPT

Did you ever see a lama kiss a lama on a lama?
Bartdude a dit:
Le net sans javascript, quelle horreur ! C'est aussi pratique que prendre un scooter pour faire de la trotinette...
Cliquez pour agrandir...
En même temps, no script et abp, c'est comme un pare feu : tu édites tes règles une fois pour chaque site et après, plus de problème ;)
No script n'empêche pas le javascript sur un site auquel tu donnes ta confiance...

Bingo a dit:
Ben parce que je développe des applications en AJAX. Enfin pas moi mais l'équipe dans laquelle je travaille.
Du coup sans Javascript c'est pas évident !
Cliquez pour agrandir...
Il suffit d'accepter ton domaine de travail et y a plus de problème ;)
 
1er
OP
Noir

Noir

Never forget who i am !
nSo a dit:
option pour retenir les mdps toujours désactivée chez moi :proud:


edit : sauf pour GamerZ -> :gne: omfg on va piquer mon compte !
Cliquez pour agrandir...
trop tard c'est fait, on a récupéré tout tes sites X avec account et mdp :-D

:porte:
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut