Firefox 3.0 : la première vulnérabilité de sécurité ?

Le navigateur Firefox 3.0 a fait ses grands débuts sur la Toile mardi, au prix d'un lancement très médiatisé avec un record purement symbolique à la clé. Mais il était écrit qu'outre cette course au téléchargement une autre allait avoir lieu, celle du premier chercheur en sécurité informatique qui réussirait à détecter la présence d'une vulnérabilité dans le fureteur. Pari également gagné en moins de 24 heures, et même 5 heures exactement après le lancement officiel, sous l'égide de l'initiative Zero Day de TippingPoint à la réputation sulfureuse, puisque rétribuant les chercheurs pour leurs découvertes.


Inauguration pour Firefox 3
Pour le reste, tout est placé sous le sceau du secret et tout juste peut-on lire que cette vulnérabilité à action immédiate dont la véracité a été validée par TippingPoint, nécessite pour être exploitée l'interaction de l'utilisateur à savoir le clic sur un lien dans un courriel ou la consultation directe d'une page Web malveillante. En résulte alors l'exécution de code arbitraire. A noter toutefois que cette vulnérabilité affecte également le versions 2.0.x précédentes de Firefox.

Mozilla a été averti de cette découverte, et tant qu'un correctif ne sera pas proposé, aucune information technique ne sera divulguée, de la part de TippingPoint en tout cas. Sur le blog sécurité de Mozilla, Window Snyder confirme en effet que cette faille a été portée à sa connaissance. Elle se veut néanmoins très rassurante envers les utilisateurs, soulignant bien qu'aucun exploit n'a été rendu public, que les détails sont privés et donc les risques très minimes pour l'heure.