Jérôme Segura, responsable chez MalwareBytes, a averti lundi Mozilla d’un bug déjà exploité dans son navigateur et menant au blocage de Firefox. Les versions macOS et Windows sont concernées, même si la deuxième est techniquement plus à même d’être affectée.
Pour exploiter le bug en effet, un message apparaît pour avertir l’utilisateur que sa licence de Windows n’est pas bonne : sa clé serait « illégale ». Un avertissement qui a peu de chances de fonctionner sur un utilisateur de Mac. En outre, dans les deux cas, le message est dans un anglais très pauvre qui, à lui seul, alerte sur le danger.
Problème, si le message a le temps d’apparaître, Firefox se bloque complètement. Il faut alors tuer le processus via le gestionnaire de tâches sous Windows ou « Forcer à quitter » sur macOS. Si la restauration d’onglets a été activée (elle ne l’est pas par défaut), il faudra rapidement fermer l’onglet fautif au redémarrage de Firefox, sous peine de finir dans une boucle frustrante.
Selon Segura, le bug est déjà activement exploité par plusieurs sites. Mozilla a déjà réagi pour indiquer qu’un correctif était en développement. Le blocage se situe dans l’utilisation d’une fenêtre d’authentification.
Le chercheur précise que ce type de bug est courant. Il avait rapporté un souci équivalent il y a deux ans à Mozilla, mais qui n’avait pas été corrigé. Le bug avait eu le temps d’être exploité, mais ne le serait plus actuellement.
Commentaires (21)
#1
Wep déjà eu ce genre de truc dans FF y’a longtemps, pas dramatique, tu killes tu nettoies la session puis hoplà
#2
Ce n’est pas les 1% d’utilisateurs chevronnés qui sont le plus en danger.
Madame Michu ne s’en débarrasserai pas aisément. Donc pas si facile pour elle.
#3
Je suis déjà tombé sur un site de scareware utilisant un mécanisme de ce type.
Le procédé semblait être de faire une boucle infini avec un popup modal. A l’époque je m’étais demandé comment Firefox avait pu laisser passer le fait qu’un popup d’un onglet puisse être modal relativement au navigateur complet, et pas seulement à son onglet d’origine (et notamment qu’il empêche de fermer l’onglet fautif)
C’est pas dramatique, mais c’est assez chiant, et pas forcément à la portée de tout le monde de comprendre comment s’en débarrasser.
#4
J’espère que Mme Michu pensera à reboot :)
" />
C’est quand même courant sous Windows
#5
Y’avais un truc aussi frustrant sur smartphone, avec les alertes et la redirection vers un autre sous domaine à chaque fois.
#6
Non, mais elle ouvrira Chrome
#7
Ca commence à faire pour Firefox.. Ca et les gros problèmes récent du style les extensions bloquées il y a 5 mois pendant plus de 24h…
Si vous en avez marre c’est compréhensible, mais n’allez pas sur Chrome par pitié. Quitte à être sur un “Chrome-like”, Brave au strict minimum !
En effet Brave est l’une des rares alternatives (si ce n’est la seule), complètement open source qui a pour but de protéger votre vie privée comme Firefox. A savoir qu’ils vont d’ailleurs plus loin en essayant de contrer les géants de la pub comme Facebook (ou encore Google) en rémunérant l’internaute…
Si ça vous intéresse : https://supple.support-vision.fr/articles/19#resume-de-l-article-pas-lu-c-est-trop-long
#8
Si la restauration d’onglets a été activée (elle ne l’est pas par
défaut), il faudra rapidement fermer l’onglet fautif au redémarrage de
Firefox, sous peine de finir dans une boucle frustrante.
Donc cela concerne un site précis ? Ou plusieurs ? L’actu ne le dit pas.
#9
ho mince :(
Ta raison :)
#10
C’est lié au site.
En fait ce n’est pas vraiment un bug. Je peux me tromper mais je crois que c’est un problème que j’ai déjà rencontré et il est très pénible.
En gros le site fait apparaitre une fenêtre semblable à l’alert en javascript (dans mon cas c’était une fenêtre de login) et quand on la ferme il en ouvre directement une autre. Le soucis c’est que l’on ne peut pas fermer le navigateur ou l’onglet avec la fenêtre en question ouverte.
Quand je m’étais renseigné à l’époque j’avais lu qu’ils étaient au courant mais qu’ils n’envisageaient pas de le corriger. Je m’étais résolu à utiliser chrome pour les sites qui utilisaient ce truc (mediafire dans mon cas)
 https://twitter.com/jeromesegura/status/1191446681599954944
#11
#12
#13
Je ne comprend pas l’intérêt qu’ont les sites qui exploitent ce bug, ils te font planté ton firefox et donc ils y gagnent quoi derrière ?
#14
Surtout, que d’après ce que je vois, ça tourne ajourd’hui avec blink+V8 soit les même moteurs que Chrome/Chromium/Opera/Edgium.
Le “truc en plus” de Brave, c’est que pour rémunérer, il y a bien un affichage de pub mais le système de targetting est fait en local. La rémunération passe par une cryptomonnaie (Ethereum). A ceci, ils aurait ajouter leur réécriture de Ublock Origin et de Ghostery.
Pour la faire simple, Brave, c’est Chromium avec des modules, de la pub et de la crypto.
Donc oui, je te rejoins, autant prendre Chromium qui fait très bien le boulot. Et si tu veux pousser plus loin, tu peux même prendre ungoogled-chromium.
#15
je me pose la même question. Surement un complot de Microsoft et de Google pour couler Mozilla
" />
#16
Concernant chrome et netflix, je pense que le problème que tu as rencontré est un cas isolé. Netflix aurait rapidement arrangé le problème dans le cas du navigateur le plus utilisé au monde. Quant au fait que Brave lui n’ait pas de problème, c’est à ne pas comprendre : chorme et Brave utilisent la même base, chromium. les ajouts des uns et des autres ne sont je ne pense pas de codecs propriétaires.
Pour les mises à jour silencieuses du navigateur, c’est chrome qui a lancé ce fonctionnement sur les navigateurs, les autres ont repris les mécanismes (tous les petits navigateurs basés sur chromium) ou l’ont copié (firefox). Je ne fais pas l’apologie de chrome, que je n’apprécie que peu, mais il faut reconnaître qu’il fonctionne et répond aux besoins de la quasi totalité des gens.
Pour revenir à la news, j’ai un peu de mal à comprendre. Comment ça fonctionne ? C’est le message en lui-même qui fait planter FF ? Où est-ce qui est affiché ? D’ailleurs comment le message peut se faire passer pour un message système ? Est-ce qu’il est passé dans les notifications système (bloquant toutes les notifications des sites sur mes navigateurs, je ne sais pas comment c’est géré) ?
#17
#18
#19
Je ne comprends pas le code. Mais est-ce que la méthode ne permet pas de collecter des identifiants/MdP ?
En entreprise, ce n’est pas rare d’avoir ce genre de requêtes (parfois lié a des proxy, je crois).
Les gens sont souvent “bien” éduqué (parce que en général ça fonctionne) et essaient tous les ident/MdP qu’ils connaissent, lorsqu’un truc du genre les bloque.
#20
#21