La mise à jour de Firefox corrige les failles de sécurité

Tous les problèmes de sécurité sont liés à l'objet "Location" du logiciel. L'un des défauts, lorsqu'il est combiné avec certains plug-ins, pourrait être exploité pour effectuer des attaques de script inter-site sur les utilisateurs. Ces attaques sont généralement utilisées pour infecter des applications Web sur des sites Web de confiance et pousser du code malveillant vers des visiteurs non avertis de ces sites.

Une autre vulnérabilité concerne la fonction CheckURL dans le code du navigateur, qui risque de renvoyer une valeur erronée. Mozilla a déclaré que cela pourrait être exploité dans une attaque de script intersite, ou être utilisé pour exécuter du code arbitraire sur un module complémentaire de navigateur qui interagit avec le contenu d'une page.

[Plus d'informations: Comment supprimer les logiciels malveillants de Windows PC]

Un troisième défaut adressé par la mise à jour permettait de contourner l'emballage de sécurité de l'objet Location par un hacker.

Mozilla poussait aussi une mise à jour de son client de messagerie Thunderbird pour corriger des failles similaires dans ce programme. Il a expliqué dans un blog sur la mise à jour que les vulnérabilités de localisation adressées par la nouvelle version auraient moins d'impact sur Thunderbird car elles n'utilisent ces fonctions que via les flux RSS et les extensions qui chargent du contenu Web.

, il a abordé les vulnérabilités décrites dans 14 avis de sécurité, dont 11 «critiques». Dans les 24 heures suivant cette publication, Mozilla a interrompu les téléchargements du logiciel en raison de problèmes de sécurité. Pour répondre à ces préoccupations, Mozilla a publié la version 16.0.1 de son navigateur. Cette version a bouché le trou qui permettait aux sites malveillants de lire l'historique de navigation des visiteurs de ces sites.