Firefox 3.5 : divulgation publique d'une faille JavaScript

Le par  |  3 commentaire(s)
Firefox_Nouveau_Logo

La compilation à la volée du moteur JavaScript de Firefox 3.5 est touchée par une vulnérabilité de sécurité dont un code exploit a été rendu public sur la Toile. Mozilla tente de colmater la brèche.

Firefox_Nouveau_LogoL'équipe de sécurité Mozilla est actuellement en plein travail pour concevoir un correctif de sécurité afin de combler une vulnérabilité dans Firefox 3.5. La première à faire parler d'elle dans la récente mouture du navigateur Web, et qui plus est elle affecte l'une de ses fonctionnalités phares avec la technologie JIT ( Just-in-time ) de son nouveau moteur JavaScript. TraceMonkey est capable de lire le codé exécuté et de le compiler à la volée pour une utilisation ultérieure.

Ladite vulnérabilité est connue de Mozilla depuis la semaine dernière mais l'alerte est devenue sérieuse pour les utilisateurs suite à la publication en début de semaine d'un code exploit. Nul doute donc que les premières attaques ne vont pas tarder via des pages Web contenant le code exploit.

Secunia qualifie cette vulnérabilité de " hautement critique ", soit le niveau 4 sur son échelle de dangerosité graduée jusqu'à 5. La société danoise pointe du doigt une vulnérabilité de type corruption de mémoire due à un problème au niveau du traitement par du code JavaScript de tags HTML.

En attendant la publication d'un correctif et donc très probablement Firefox 3.5.1 qui est prévu pour la deuxième partie du mois de juillet, Mozilla conseille de désactiver le JIT dans le moteur JavaScript. Pour ce faire, il faut entrer about:config dans la barre d'adresse, saisir jit dans le filtre de recherche pour se diriger rapidement vers l'entrée javascript.options.jit.content, et mettre cette entrée à false en double-cliquant.

Évidemment avec ce palliatif, les performances JavaScript de Firefox 3.5 s'en trouveront altérées, et il ne faudra pas oublier de remettre l'entrée concernée à true lorsque le correctif sera proposé par Mozilla.

 

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #489201
Est-ce que les nightlies de Fx 4 sont touchées elles aussi?
Le #489331
patheticcockroach c'est difficile de savoir, ce qui est sûr c'est que ce sont les nightlies qui seront les premieres corrigées.
patheticcockroach Hors ligne VIP 7663 points
Le #490711
J'ai finalement trouvé ma réponse en fait: la nightly a été patchée le 13/07, et Firefox 3.5.1 est sorti aujourd'hui ou hier je sais plus trop.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]