Vigil@nce : Firefox, mémorisation permanente des certificats
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Firefox mémorise de façon permanente les certificats non sûrs même
si l’utilisateur ne le souhaite pas.
– Gravité : 2/4
– Date création : 31/05/2011
PRODUITS CONCERNÉS
– Debian Linux
– Mozilla Firefox
DESCRIPTION DE LA VULNÉRABILITÉ
Lorsqu’un utilisateur visite un site web en HTTPS avec un
certificat auto-signé, l’utilisateur a la possibilité de ne pas
accepter de manière permanente le certificat proposé, mais
uniquement pendant la durée de sa session.
Cependant, Firefox 4 ne désactive pas le certificat à la fin de la
session. Lorsque l’utilisateur consulte à nouveau le site web,
Firefox recharge la page HTTPS sans demander à l’utilisateur de
re-valider le certificat serveur.
Firefox mémorise donc de façon permanente des certificats non sûrs
même si l’utilisateur ne le souhaite pas.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Firefox-memorisation-permanente-des-certificats-10699