Première faille pour Firefox 1.5 - MàJ

Le par  |  92 commentaire(s) Source : BetaNews
firefox

Un code prouvant l'exploitation d'une faille sous Firefox circule en ce moment sur Internet.

Un code prouvant l'exploitation d'une faille sous Firefox circule en ce moment sur Internet.

FirefoxLa firme de sécurité informatique Packetstorm Security a posté ce mercredi 7 décembre une preuve d'exploitation d'une faille affectant le navigateur Internet Mozilla Firefox dans sa toute récente déclinaison 1.5, provoquant un certain émoi chez les utilisateurs et les développeurs du petit prodige de l'open-source.

La vulnérabilité touche la base de données de l'historique de Firefox (history.dat), qui gère mal, voire pas, les URLs renfermant de multiples pages: une de ces pages, si elle est piégée, peut causer une saturation de mémoire tampon (buffer overflow) et entraîner la fermeture inopinée du navigateur.

La seule parade connue pour l'instant consiste à purger ce fichier d'historique avant de démarrer Firefox, ou, dans une moindre mesure, à choisir de vider le cache du logiciel à chaque fermeture, ce qui, dans certains cas, peut ralentir l'affichage des pages Web.

John Bambenek, du SANS Internet Storm Center, déclare que "cette vulnérabilité a été testé, et qu'elle fonctionne. De plus, aucun patch n'est pour l'instant disponible pour la contrer. On peut supposer que si une preuve d'exploitation a pu voir le jour, un code plus vicieux pourrait bientôt s'abattre sur les ordinateurs des internautes qui surfent sur Firefox, et on peut craindre des installations de logiciels malicieux."

Pour rappel, Mozilla Firefox 1.5 est sorti en version finale il y a seulement quelques jours, et la Fondation Mozilla revendiquait il y a quelques semaines avoir crevé le plafond des cent millions de téléchargement pour son navigateur Internet vedette.

De là à dire qu'il existe donc cent millions de PC en dangers…


MàJ - le 9 décembre, à 13h17: un internaute m'a fait très justement remarquer que le rapprochement entre les chiffres record de téléchargements de Mozilla Firefox et le nombre de PC potentiellement en danger était un peu hasardeux. En effet, Firefox 1.5 est sorti il y a seulement quelques jours, et l'essentiel des  100 millions de téléchargements auxquels je faisais référence concerne donc la branche Firefox 1.0.x, laquelle opérait sous une forme précédente du moteur de rendu graphique Gecko, et avec un code source sensiblement différent. Notre internaute mécontent, à n'en pas douter un fervent défenseur de Firefox, semble convaincu que les versions 1.0.x n'étaient a priori pas affectées par cette faille, puisqu'elle n'a jamais (') été mentionnée. Dont acte!

Bien à vous

AG



Complément d'information

Vos commentaires Page 1 / 10

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #73925
http://secunia.com/advisories/17934/

elle est pas du tout critique
Le #73926
On a plus qu'a attendre le All Day Patch en comparaison au first tuesday of month patch de crosoft
Le #73927
Pour les pro IE oui.
Le #73928
Personellement, j'ai testé le script, mais à part faire planter firefox pandant 15 secondes... Il revient à la normal après...
Peut-être n'ai-je pas les 20Mo de history.dat <img src="/img/emo/cool.gif" alt="8:" />.
Le #73929
Salut
Certe mais c'est balot quand meme, ne plus pouvoir utiliser son navigateur si on affiche l'historique au demarage

Bah pas d'inquietude d'ici quelque jour elle sera corriger, peut on au moins en dire autant de la concurance, non libre. Non je ne pense pas.

Tout ca pour dire que c'est pas un bon coup de pub, et que ca vas faire des ravages dans les medias, mais bon comparer a certaine faille de certain navigateur qui existe depuis je ne sais combien de temps, peut on réelement dire que cela met en danger notre systeme, là encore je ne pense pas.
Le #73931
De plus avec firefox 1.5, la mise à jour se fera toute seule sans problème
Le #73932
"De plus avec firefox 1.5, la mise à jour se fera toute seule sans problème"

ce serait sous IE, cette màj automatique, on crierait au scandale....
Le #73933
Quel alarmisme que je n'ai par ailleurs pas trouve a la source... On voudrait faire dans le sensationnel qu'on ne ferait pas mieux.

Selon secunia c'est effectivement "Not Critical"

http://secunia.com/advisories/17934/

Il me semble que l'on devrait pouvoir s'en proteger en desactivant le javascript non '
Anonyme
Le - Editer #73934
"ce serait sous IE, cette màj automatique, on crierait au scandale...."

Quand le logiciel mis à jour est intégré aux fins fonds des entrailles du système d'exploitation, oui.
Le #73935
"ce serait sous IE, cette màj automatique, on crierait au scandale...."
Oui, mais IE est payant. Tu payes, tu attend un service imppec, logique.

De toute manière, avec firefox j'ai CONFIANCE, ce qui n'est pas le cas d'IE (j'ai noscript en extension pour filtrer les sites de confiance par exple. Par défaut le java ne marche pas chez moi. Ceci dit ce n'est qu'un exemple, puisque je ne sais pas du tout si cette faille critique-pasCritique (') passe par le javascript.
Ci elle n'est pas critique (d'ailleur qu'est ce que le critique ' du plantage ou du défaut de sécurité), je ne tire pas mon chapeau à l'auteur de l'article qui ferait dans le potin sensationnel. (notez le conditionnel)

"De là à dire qu'il existe donc cent millions de PC en dangers?"
Sous IE certainement
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]