Mises à jour intéressante, bien que je comprends pas tout dans le dernier paragraphe....
La Fondation Mozilla propose une nouvelle version de maintenance de son navigateur
Firefox. Une version
3.6.9 est ainsi en ligne, voire
3.5.12 pour les utilisateurs qui n'ont pas pu ou voulu faire le saut vers la branche 3.6. Il s'agit de corriger plusieurs problèmes de stabilité et de sécurité.
Un peu moins d'une quinzaine de vulnérabilités dont la majorité partagée pour Fx 3.6 et 3.5. Parmi ces vulnérabilités, on notera tout particulièrement la vulnérabilité critique de chargement de
DLL sous
Windows XP. Cette faille donne lieu à une série de mises à jour pour tout un tas de logiciels et du côté de Mozilla, Thunderbird (
3.1.3 ) n'y par exemple pas fait exception.
Rapportée par ACROS Security et un chercheur en sécurité de FortiGuard Labs, cette vulnérabilité peut être exploitée afin que Firefox charge une DLL malveillante qui a été placée sur l'ordinateur de la victime. Mozilla explique qu'au démarrage, Firefox tente de charger le fichier
dwmapi.dll qui sous Windows XP n'est pas présent. Firefox va donc essayer de charger la bibliothèque logicielle depuis le répertoire de travail courant. <blockquote> "
Un attaquant peut utiliser cette vulnérabilité en incitant un utilisateur à télécharger un fichier HTML et une copie malveillante de dwmapi.dll dans le même répertoire sur son ordinateur. En ouvrant le fichier HTML avec Firefox, cela permettra au code malveillant d'être exécuté "
</blockquote>Afin d'aider à la protection des utilisateurs, Firefox 3.6.9 bénéficie par ailleurs du support de la fonctionnalité
X-FRAME-OPTIONS pour l'entête de réponse HTTP. Cette dernière peut être utilisée afin d'indiquer si un navigateur est autorisé ou non à effectuer le rendu d'une page dans l'élément frame ( cadre ). Les sites Web
peuvent en tirer parti en s'assurant que leur contenu n'est pas embarqué dans d'autres sites et éviter pour l'utilisateur les attaques de type clijacking ou détournement de clic.
Edit : dsl du copier/Coller mais je ne savais pas comment résumé cette présentation....