Dans Firefox, la faille se situe au niveau du traitement de JavaScript, ce qui permet à une page conçue de manière ingénieuse de s'assurer que l'agresseur prenne les commandes de l'ordinateur sur lequel tourne ce navigateur. Cette possibilité se présente par ailleurs lorsqu'on utilise Firefox tant avec les systèmes d'exploitation Windows, Mac OS X que Linux. Elle est basée sur un 'stack overflow'.
Window Snyder, ex-collaboratrice de Microsoft et, chez Mozilla, responsable de la politique de sécurité, affirme que le code malfaisant pourrait être un nouvel outil basé sur une possibilité d'attaque assez ancienne, mais que l'on est encore et toujours en train d'examiner ce qu'il est possible de faire.
Les 'cyberintrus' qui ne s'intéressent qu'aux systèmes Windows, recourent à un code malfaisant qui exploite une faille découverte jeudi dans Windows 2000, XP et Server 2003. On a déjà repéré plusieurs sites web qui tentent d'utiliser ce code pour installer du logiciel mal intentionné sur l'ordinateur de l'internaute qui ne se doute de rien.
Via cette brèche dans Windows, il est ainsi possible d'introduire le logiciel CoolWebSearch. Une solution provisoire est de désactiver la commande WebViewFolderIcon-ActiveX et de configurer Internet Explorer de façon à demander l'autorisation d'exécuter des ActiveX Controls ou de les bloquer complètement.
Source de l'article : DATA NEWS (BE)
http://www.fr.datanews.be/news/enterprise_computing/security/20061002017