Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Firefox mémorise de façon permanente les certificats non sûrs même
si l’utilisateur ne le souhaite pas.

– Gravité : 2/4
– Date création : 31/05/2011

PRODUITS CONCERNÉS

– Debian Linux
– Mozilla Firefox

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsqu’un utilisateur visite un site web en HTTPS avec un
certificat auto-signé, l’utilisateur a la possibilité de ne pas
accepter de manière permanente le certificat proposé, mais
uniquement pendant la durée de sa session.

Cependant, Firefox 4 ne désactive pas le certificat à la fin de la
session. Lorsque l’utilisateur consulte à nouveau le site web,
Firefox recharge la page HTTPS sans demander à l’utilisateur de
re-valider le certificat serveur.

Firefox mémorise donc de façon permanente des certificats non sûrs
même si l’utilisateur ne le souhaite pas.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Firefox-memorisation-permanente-des-certificats-10699