[quote="fleur"]
Vulnérabilités critiques dans Firefox, Thunderbird et SeaMonkey (28/09/11)
RESUME :
Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Firefox, la messagerie Thunderbird et l'application SeaMonkey. L'exploitation des failles les plus sévères permet à un individu malveillant ou à un virus d'exécuter du code malicieux sur l'ordinateur de sa victime via une page web, un courriel ou un module piégé.
LOGICIELS CONCERNES :
Mozilla Firefox 6.0.2 et versions inférieures
Mozilla Firefox 3.6.22 et versions inférieures
Mozilla Thunderbird 6.0.2 et versions inférieures
Mozilla Thunderbird 3.1.14 et versions inférieures
SeaMonkey 2.3 et versions inférieures
RISQUE :
Critique
CORRECTIF :
Les utilisateurs concernés doivent installer rapidement la nouvelle version du logiciel (version 7/3.6.23 ou supérieure pour Firefox) ou le correctif correspondant via la fonction de mise à jour ("?" dans la barre de menu puis "A propos de Firefox" puis "Rechercher des mises à jour"), afin de sécuriser leur ordinateur et d'empêcher toute exploitation hostile de ces failles par des individus malveillants, des virus ou d'autres programmes malicieux. Les liens directs :
Firefox 7.0
Firefox 3.6.23
Thunderbird 7.0
Thunderbird 3.1.15
SeaMonkey 2.4
INFORMATIONS COMPLEMENTAIRES :
-> Mozilla Foundation Security Advisory 2011-36 (en anglais)
-> Mozilla Foundation Security Advisory 2011-37 (en anglais)
-> Mozilla Foundation Security Advisory 2011-38 (en anglais)
-> Mozilla Foundation Security Advisory 2011-39 (en anglais)
-> Mozilla Foundation Security Advisory 2011-40 (en anglais)
-> Mozilla Foundation Security Advisory 2011-41 (en anglais)
-> Mozilla Foundation Security Advisory 2011-42 (en anglais)
-> Mozilla Foundation Security Advisory 2011-43 (en anglais)
-> Mozilla Foundation Security Advisory 2011-44 (en anglais)
-> Mozilla Foundation Security Advisory 2011-45 (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?
Les FAQs, ou foires aux questions, sont des listes de questions/réponses les plus courantes qui permettent aux internautes de trouver rapidement une solution à leur problème dans le cas d'une question fréquemment posée.
Qu'est-ce qu'une faille de sécurité ?
Comment savoir si un logiciel est installé sur mon ordinateur?
Comment déterminer le numéro de version d'un logiciel ?
Qu'est-ce que le partage de fichiers et comment y mettre fin?
Peut-on avoir toute confiance dans l'adresse d'expéditeur d'un courrier électronique?
Un individu m'a demandé de lui envoyer le fichier tree.dat ou smdata.dat de ma version de Cute FTP en m'expliquant que ça lui permettrait de réparer son logiciel : ai-je bien fait de refuser?
Qu'est-ce qu'une faille de sécurité?
Une faille de sécurité (ou vulnérabilité) est un bogue particulier dont l'exploitation permet d'effectuer des actions qui ne sont pas possibles dans le cadre d'une utilisation normale d'un logiciel. Les failles les plus redoutables sont celles permettant l'exécution de code à distance, c'est-à-dire permettant à un individu malveillant d'exécuter un programme malicieux sur l'ordinateur de sa victime via Internet même si celle-ci se trouve à l'autre bout de la planète. Un exemple malheureusement célèbre est une faille du logiciel de messagerie Outlook Express qui permettait à un virus de s'exécuter automatiquement au moment où l'internaute ouvrait un courrier électronique infecté ou en prenait connaissance via le volet de lecture, sans avoir à ouvrir le fichier joint. Pour remédier à une faille de sécurité il faut corriger le code défectueux en appliquant un correctif ou en installant une nouvelle version du logiciel.
Comment savoir si un logiciel est installé sur mon ordinateur?
Pour connaître la liste des programmes installés sur votre ordinateur, vous pouvez parcourir Menu Démarrer > Tous les programmes mais vous trouverez une liste plus claire et souvent plus complète dans Menu Démarrer > Panneau de configuration > Ajout/Suppression de programmes. Cela est particulièrement utile si vous ne vous souvenez plus avoir installé un logiciel, si vous n'êtes pas le seul utilisateur à pouvoir installer des programmes ou encore si votre ordinateur était livré avec des logiciels préinstallés, pour pouvoir appliquer les correctifs de sécurité nécessaires.
Comment déterminer le numéro de version d'un logiciel ?
Pour connaître le numéro de version d'un logiciel, il suffit généralement de regarder dans son menu "Aide" ou "?", puis de choisir "A propos de" ou "Version" : ce numéro de version se présente généralement sous la forme d'une suite de nombres entrecoupés par des points (par exemple : Internet Explorer 7.0.5730.11). Il est recommandé de connaître les numéros de version de ses principaux logiciels afin de savoir s'ils sont concernés lors de l'annonce d'une faille de sécurité et de pouvoir appliquer le correctif correspondant à la bonne version du logiciel. Certains logiciels sont toutefois équipés d'une fonction de recherche de mise à jour voire de mise à jour automatique, qui simplifie le travail de l'utilisateur. Dans le cas particulier du lecteur Flash de Macromedia, intégré aux navigateurs web, vous pouvez vous rendre sur cette page du site de l'éditeur pour en connaître le numéro de version.
Qu'est-ce que le partage de fichiers et comment y mettre fin?
Le partage de ressources est une fonctionnalité qui permet à d'autres utilisateurs connectés au même réseau informatique que le vôtre d'accéder à distance à votre ordinateur et d'utiliser ses ressources : il est ainsi possible de partager un répertoire et ses fichiers (on parle de partage de fichiers ou de partage de dossiers), mais aussi de partager des imprimantes voire d'autres périphériques. Si vous n'avez pas la nécessité de partager des ressources avec d'autres utilisateurs, il est recommandé de supprimer les partages afin d'éviter tout accès malveillant à votre machine. Pour cela, faites un clic droit sur l'icône "Voisinage réseau" (Windows 95) ou "Favoris réseau" (Windows 98) du bureau Windows, choisissez Propriétés puis suivez les manipulations détaillées dans cette copie d'écran afin de décocher les cases "Permettre à d'autres utilisateurs d'accéder à mes fichiers" et "Permettre à d'autres utilisateurs d'utiliser à mes imprimantes". Si vous avez besoin de partager des ressources, protégez-en l'accès avec un mot de passe fort ou encore partagez vos répertoires en lecture seule.
Peut-on avoir toute confiance dans l'adresse d'expéditeur d'un courrier électronique?
Malheureusement non! Si vous travaillez dans une société ou une organisation qui vous fournit une adresse email
moi@organisation.fr et que vous recevez un courrier de
albert@organisation.fr, vous n'êtes assuré de rien, car il est techniquement possible de générer un mail comportant un nom et une adresse d'expéditeur qui ne sont pas ceux de l'expéditeur réel. Restez donc sur vos gardes si votre correspondant utilise une adresse dont le login vous est inconnu (ex. :
dxq30@organisation.fr), s'il demande à ce que des documents lui soient envoyés à une adresse gratuite type Hotmail ou iFrance (en prétextant une maladie, un déplacement, un travail à la maison, etc.), en cas de demande inhabituelle (votre correspondant veut connaître vos login/password pour "vérification" ou vous recommande de les changer pour un couple login/password de son choix) et aussi bien sûr en cas de présence d'un fichier attaché (potentiellement un virus ou un troyen).
Un individu m'a demandé de lui envoyer le fichier tree.dat ou smdata.dat de ma version de Cute FTP en m'expliquant que ça lui permettrait de réparer son logiciel : ai-je bien fait de refuser?
Effectivement! Ce fichier contient le login et le password qui donnent accès au répertoire de publication de votre site web. Il est donc hors de question de le communiquer à qui que ce soit, même si votre correspondant vous affirme que ça lui permettra de réparer sa version endommagée du logiciel (il s'agit ni plus ni moins que d'une tentative de piratage par ingénierie sociale). Cet avertissement vaut pour tous les logiciels : n'envoyez jamais un fichier de configuration si vous n'êtes pas absolument sûr de son contenu.