Le chercheur Barak Tawily a décrit à The Hacker News une méthode d’attaque exploitant un choix fait par Firefox il y a 17 ans et décrit régulièrement comme une faiblesse.

Le problème réside dans la Same Origin Policy (SOP), qui définit les permissions URI (Uniform Resource Identifier) pour « file:// ». La SOP n’est pas un standard. Il dispose bien d’une RFC publiée par l’IETF, mais n’est pas défini clairement. Chaque navigateur l’implémente donc à sa manière.

Dans le cas de Firefox, on part du principe que tous les fichiers dans un dossier donné ont les mêmes droits. Ce qui a permis au chercheur de publier un prototype d’exploitation.

En amenant l’utilisateur à télécharger et ouvrir un simple fichier HTML, il devient possible de récupérer la liste complète des fichiers résidents dans le même dossier (y compris les sous-dossiers), d’en lire le contenu grâce à l’API Fetch et d’envoyer toutes ces données à un serveur distant via des requêtes HTTP.

Selon le chercheur, toutes ces activités peuvent se faire en arrière-plan en quelques secondes sans que l’utilisateur ne remarque quoi que soit. Il faut « simplement » l’amener à télécharger et ouvrir le fameux fichier.

Ce qui n’est pas forcément compliqué, car les fichiers HTML ne sont pas connus pour être suffisants au déclenchement d’attaques. Un peu d’ingénierie sociale ou une éventuelle arnaque au clic peut suffire.

On ne sait pas vraiment encore ce que Mozilla compte faire, car la SOP a le même fonctionnement chez l’éditeur depuis 17 ans maintenant. La modifier pourrait donc créer des problèmes.

Notez que les chercheurs ne sont pas nécessairement d’accord entre eux sur ce qu’il convient d’appeler un bug ou pas. Le choix de Mozilla comporte une faiblesse exploitable, mais ne semble pas pouvoir se ranger dans la catégorie des « vraies » failles.