Mozilla met à jour son navigateur Firefox en version 3.6.9 qui corrige 14 failles de sécurité, dont une liée à la vulnérabilité de DLL sous Windows XP, et introduit une protection contre le détournement de clic. Thunderbird passe lui en version 3.1.3.

Firefox 3.5 logo

Nous n’avons pas ici affaire à une version majeure du navigateur de la fondation Mozilla et c’est donc tout naturellement que des soucis de stabilité et de sécurité sont au programme de Firefox 3.6.9.

En tout, 14 failles de sécurité ont ainsi été corrigées dont 1 qualifiée de modérée, 1 d’élevée et 10 de critiques.

Parmi celles-ci, on retrouve un correctif de la vulnérabilité qui touchait sous Windows XP les DLL chargées par une application et pouvait permettre l’exécution d’un code arbitraire à distance si une DLL malicieuse a été placée sur le PC victime.

Firefox essaye de charger dwmapi.dll au démarrage alors qu’elle n’est pas présente sous Windows XP. Du coup, le navigateur tente de récupérer la bibliothèque logicielle depuis le répertoire de travail en cours. Cela peut inciter un utilisateur à rapatrier une version malveillante de dwmapi.dll ainsi qu’un fichier HTML et si celui-ci est lancé, du code arbitraire peut être exécuté.

En outre, Firefox 3.6.9 offre une nouvelle fonctionnalité avec le support de l’entête de réponse HTTP X-FRAME-OPTIONS qui peut être utilisé par les développeurs web afin de prévenir le clickjacking, autrement dit le détournement de clic. Ils peuvent ainsi interdire l’affichage d’une page dans une frame même si le site essaye de le faire ou bien autoriser l’affichage dans une frame mais seulement si celle-ci à la même origine que la page en elle-même. Autrement dit, il s’agit là d’éviter que certains sites volent du contenu à d’autres.

Il est comme de coutume vivement conseillé de mettre à jour le navigateur si ce n’est déjà fait soit en passant par le menu "?" > "Rechercher des mises à jour", soit en téléchargeant directement le fichier d’installation via les liens ci-après :

- Firefox 3.6.9 pour Windows
- Firefox 3.6.9 pour Linux
- Firefox 3.6.9 pour Mac OS X

Ceux qui ne seraient pas encore passés en version 3.6 peuvent eux télécharger Firefox 3.5.12 via cette page.

thunderbird

Notez en outre que la fondation Mozilla en a profité pour mettre à jour son client mail Thunderbird en version 3.1.3 qui corrige 14 failles de sécurités dont la vulnérabilité DLL sous Windows XP.

Vous pouvez télécharger Thunderbird 3.1.3 en passant par le menu "?" ou par les liens ci-après :

- Thunderbird 3.1.3 pour Windows
- Thunderbird 3.1.3 pour Linux
- Thunderbird 3.1.3 pour Mac OS X

[Source : Mozilla]