Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un bug exploité de Firefox fait tourner des internautes en bourrique

Un bug exploité de Firefox fait tourner des internautes en bourrique

Le 07 novembre 2019 à 09h08

Jérôme Segura, responsable chez MalwareBytes, a averti lundi Mozilla d’un bug déjà exploité dans son navigateur et menant au blocage de Firefox. Les versions macOS et Windows sont concernées, même si la deuxième est techniquement plus à même d’être affectée.

Pour exploiter le bug en effet, un message apparaît pour avertir l’utilisateur que sa licence de Windows n’est pas bonne : sa clé serait « illégale ». Un avertissement qui a peu de chances de fonctionner sur un utilisateur de Mac. En outre, dans les deux cas, le message est dans un anglais très pauvre qui, à lui seul, alerte sur le danger.

Problème, si le message a le temps d’apparaître, Firefox se bloque complètement. Il faut alors tuer le processus via le gestionnaire de tâches sous Windows ou « Forcer à quitter » sur macOS. Si la restauration d’onglets a été activée (elle ne l’est pas par défaut), il faudra rapidement fermer l’onglet fautif au redémarrage de Firefox, sous peine de finir dans une boucle frustrante.

Selon Segura, le bug est déjà activement exploité par plusieurs sites. Mozilla a déjà réagi pour indiquer qu’un correctif était en développement. Le blocage se situe dans l’utilisation d’une fenêtre d’authentification. 

Le chercheur précise que ce type de bug est courant. Il avait rapporté un souci équivalent il y a deux ans à Mozilla, mais qui n’avait pas été corrigé. Le bug avait eu le temps d’être exploité, mais ne le serait plus actuellement.

Le 07 novembre 2019 à 09h08

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Wep déjà eu ce genre de truc dans FF y’a longtemps, pas dramatique, tu killes tu nettoies la session puis hoplà

 

votre avatar

Ce n’est pas les 1% d’utilisateurs chevronnés qui sont le plus en danger.



 Madame Michu ne s’en débarrasserai pas aisément. Donc pas si facile pour elle.

 

votre avatar

Je suis déjà tombé sur un site de scareware utilisant un mécanisme de ce type.

Le procédé semblait être de faire une boucle infini avec un popup modal. A l’époque je m’étais demandé comment Firefox avait pu laisser passer le fait qu’un popup d’un onglet puisse être modal relativement au navigateur complet, et pas seulement à son onglet d’origine (et notamment qu’il empêche de fermer l’onglet fautif)



C’est pas dramatique, mais c’est assez chiant, et pas forcément à la portée de tout le monde de comprendre comment s’en débarrasser.

votre avatar

J’espère que Mme Michu pensera à reboot :)

C’est quand même courant sous Windows <img data-src=" />

votre avatar

Y’avais un truc aussi frustrant sur smartphone, avec les alertes et la redirection vers un autre sous domaine à chaque fois.

votre avatar

Non, mais elle ouvrira Chrome

votre avatar

Ca commence à faire pour Firefox.. Ca et les gros problèmes récent du style les extensions bloquées il y a 5 mois pendant plus de 24h…



Si vous en avez marre c’est compréhensible, mais n’allez pas sur Chrome par pitié. Quitte à être sur un “Chrome-like”, Brave au strict minimum !

&nbsp;

En effet Brave est l’une des rares alternatives (si ce n’est la seule), complètement open source qui a pour but de protéger votre vie privée comme Firefox. A savoir qu’ils vont d’ailleurs plus loin en essayant de contrer les géants de la pub comme Facebook (ou encore Google) en rémunérant l’internaute…

Si ça vous intéresse : https://supple.support-vision.fr/articles/19#resume-de-l-article-pas-lu-c-est-trop-long

votre avatar



Si la restauration d’onglets a été activée (elle ne l’est pas par

défaut), il faudra rapidement fermer l’onglet fautif au redémarrage de

Firefox, sous peine de finir dans une boucle frustrante.





Donc cela concerne un site précis ? Ou plusieurs ? L’actu ne le dit pas.

votre avatar

ho mince :(

Ta raison :)

votre avatar

C’est lié au site.



En fait ce n’est pas vraiment un bug. Je peux me tromper mais je crois que c’est un problème que j’ai déjà rencontré et il est très pénible.



En gros le site fait apparaitre une fenêtre semblable à l’alert en javascript (dans mon cas c’était une fenêtre de login) et quand on la ferme il en ouvre directement une autre. Le soucis c’est que l’on ne peut pas fermer le navigateur ou l’onglet avec la fenêtre en question ouverte.



Quand je m’étais renseigné à l’époque j’avais lu qu’ils étaient au courant mais qu’ils n’envisageaient pas de le corriger. Je m’étais résolu à utiliser chrome pour les sites qui utilisaient ce truc (mediafire dans mon cas)



&nbsptwitter.com Twitter

votre avatar







AhOui a écrit :



Si vous en avez marre c’est compréhensible, mais n’allez pas sur Chrome par pitié. Quitte à être sur un “Chrome-like”, Brave Chromium au strict minimum !





Voilà, j’ai corrigé.



2 messages depuis ton inscription et toujours pour promouvoir un navigateur bien précis ! Tu as des liens avec ceux qui font ce navigateur ?


votre avatar







fred42 a écrit :



Voilà, j’ai corrigé.



2 messages depuis ton inscription et toujours pour promouvoir un navigateur bien précis ! Tu as des liens avec ceux qui font ce navigateur ?





En effet Chromium ça marcherait presque aussi, mais il a plusieurs défauts malheureusement, comme le fait qu’il ne fonctionne pas correctement sur Netflix (en tout cas la dernière fois que j’ai regardé) et j’imagine sur d’autres sites du même genre qui ont besoin de codecs propriétaires. Ou encore qu’il n’a pas de gestion de mise à jour automatique (il me semble en tout cas mais je suis peut être dans l’erreur encore une fois ?) donc pour “madame michu” c’est rapidement une catastrophe côté sécurité.



Pour Brave comme je l’indique dans l’article j’en fait la promotion pour plusieurs raisons, j’en suis un utilisateur convaincu et il y a tout le côté “solution contre la pub qui vole des données privées”, sachant que les bloqueurs ne sont pas vraiment une solution à moins de détruire le Web collaboratif actuel (mais ça reste un choix qu’on est tous libre de faire !).



Sinon pourquoi seulement deux messages à ce sujet sur NextImpact? Tout simplement parce que c’est seulement sur ces sujets que Google Actualités me le montre apparemment. Mais je devrais y aller plus souvent en effet, j’ai l’impression que les articles comme les commentaires sont d’un meilleur niveau ici que la moyenne du reste du Web..


votre avatar

Je ne comprend pas l’intérêt qu’ont les sites qui exploitent ce bug, ils te font planté ton firefox et donc ils y gagnent quoi derrière ?

votre avatar

Surtout, que d’après ce que je vois, ça tourne ajourd’hui avec blink+V8 soit les même moteurs que Chrome/Chromium/Opera/Edgium.



Le “truc en plus” de Brave, c’est que pour rémunérer, il y a bien un affichage de pub mais le système de targetting est fait en local. La rémunération passe par une cryptomonnaie (Ethereum). A ceci, ils aurait ajouter leur réécriture de Ublock Origin et de Ghostery.



Pour la faire simple, Brave, c’est Chromium avec des modules, de la pub et de la crypto.



Donc oui, je te rejoins, autant prendre Chromium qui fait très bien le boulot. Et si tu veux pousser plus loin, tu peux même prendre ungoogled-chromium.

votre avatar

je me pose la même question. Surement un complot de Microsoft et de Google pour couler Mozilla <img data-src=" />

votre avatar

Concernant chrome et netflix, je pense que le problème que tu as rencontré est un cas isolé. Netflix aurait rapidement arrangé le problème dans le cas du navigateur le plus utilisé au monde. Quant au fait que Brave lui n’ait pas de problème, c’est à ne pas comprendre : chorme et Brave utilisent la même base, chromium. les ajouts des uns et des autres ne sont je ne pense pas de codecs propriétaires.



Pour les mises à jour silencieuses du navigateur, c’est chrome qui a lancé ce fonctionnement sur les navigateurs, les autres ont repris les mécanismes (tous les petits navigateurs basés sur chromium) ou l’ont copié (firefox). Je ne fais pas l’apologie de chrome, que je n’apprécie que peu, mais il faut reconnaître qu’il fonctionne et répond aux besoins de la quasi totalité des gens.



Pour revenir à la news, j’ai un peu de mal à comprendre. Comment ça fonctionne ? C’est le message en lui-même qui fait planter FF ? Où est-ce qui est affiché ? D’ailleurs comment le message peut se faire passer pour un message système ? Est-ce qu’il est passé dans les notifications système (bloquant toutes les notifications des sites sur mes navigateurs, je ne sais pas comment c’est géré) ?

votre avatar







misocard a écrit :



Quand je m’étais renseigné à l’époque j’avais lu qu’ils étaient au courant mais qu’ils n’envisageaient pas de le corriger.





Et après Mozilla s’étonne que Firefox perde des pdm… pas etonnant avec une attitude pareille!&nbsp;


votre avatar







GTO a écrit :



Et après Mozilla s’étonne que Firefox perde des pdm… pas etonnant avec une attitude pareille!&nbsp;





… C’est sûr que c’est sûrement plus important pour mozilla de se disperser dans des projets inutiles que de se consacrer à l’essentiel : corriger les bugs de Firefox ou faire des partenariats avec les constructeurs de PC pour &nbsp;qu’ils soit installé sur les PC neufs afin que FF soit mieux connu du grand public….&nbsp;<img data-src=" />


votre avatar

Je ne comprends pas le code. Mais est-ce que la méthode ne permet pas de collecter des identifiants/MdP ?

&nbsp;En entreprise, ce n’est pas rare d’avoir ce genre de requêtes (parfois lié a des proxy, je crois).

&nbsp;Les gens sont souvent “bien” éduqué (parce que en général ça fonctionne) et essaient tous les ident/MdP qu’ils connaissent, lorsqu’un truc du genre les bloque.

votre avatar







La Mangouste a écrit :



Concernant chrome et netflix, je pense que le problème que tu as rencontré est un cas isolé. Netflix aurait rapidement arrangé le problème dans le cas du navigateur le plus utilisé au monde. Quant au fait que Brave lui n’ait pas de problème, c’est à ne pas comprendre : chorme et Brave utilisent la même base, chromium. les ajouts des uns et des autres ne sont je ne pense pas de codecs propriétaires.



Pour les mises à jour silencieuses du navigateur, c’est chrome qui a lancé ce fonctionnement sur les navigateurs, les autres ont repris les mécanismes (tous les petits navigateurs basés sur chromium) ou l’ont copié (firefox). Je ne fais pas l’apologie de chrome, que je n’apprécie que peu, mais il faut reconnaître qu’il fonctionne et répond aux besoins de la quasi totalité des gens.





Chromium et Netlifx *

En effet ça paraît bizarre mais je connais d’autres gens qui m’ont dit la même chose alors qu’ils souhaitaient être sous Chromium, c’est pas des anti-Chromium qui balancent de fausses infos dessus. Je ne sais pas qu’est-ce qu’il manque mais il manque quelque chose apparemment. Après c’est bien possible que c’était quelque chose d’historique qui a été enfin corrigé dans les dernières versions, je ne dis pas le contraire.



Concernant les mises à jour je n’ai pas compris ta réponse. J’ai installé rapidement Chromium hier et je confirme bien qu’il n’y a pas de mise à jour automatique, c’est dans Chrome que ça y est et les dérivés. Il faut obligatoirement un exécutable extérieur en plus pour Chromium. On en revient donc à ce que je disais, pour “madame michu” qui “veut que ça marche sans que ça soit compliqué” c’est problématique.



&nbsp;Et d’ailleurs on peut remercier Google de toujours chercher à simplifier la vie des gens quand c’est dans leur intérêt à eux d’abord (utiliser Chrome au lieu de Chromium par exemple), pour justement en arriver à des cas comme ça où les moldus ne veulent pas s’embêter alors qu’ils devraient peut être tous le faire…


votre avatar







noks a écrit :



Je ne comprend pas l’intérêt qu’ont les sites qui exploitent ce bug, ils te font planté ton firefox et donc ils y gagnent quoi derrière ?





Ils s’en servent pour bloquer le navigateur en disant à l’utilisateur qu’il a plein de virus et qu’il devrait faire x action pour le corriger, par exemple appeler un numéro surtaxé. Classique mais j’imagine que ça marche du tonnerre…


Un bug exploité de Firefox fait tourner des internautes en bourrique

Fermer