Mozilla : une soi-disant faille 0-day dans Firefox 3.5.1

Le par  |  1 commentaire(s)
Firefox_Nouveau_Logo

Plusieurs rapports font état d'une faille de sécurité 0-day dans Firefox 3.5.1. Selon Mozilla, si un bug existe bel et bien, il ne s'agit pas d'une vulnérabilité exploitable dans Firefox.

Firefox_Nouveau_LogoLa première mise à jour de maintenance de Firefox 3.5  est encore toute récente, et elle a notamment permis le comblement d'une vulnérabilité de sécurité JavaScript dans le compilateur Just-in-Time.

Quelques heures après l'annonce officielle de la disponibilité de Firefox 3.5.1, plusieurs rapports ont fait surface sur la Toile pour confirmer une nouvelle vulnérabilité dans le navigateur. En l'occurrence, cette vulnérabilité a en réalité été publiée la vielle de la sortie de Fx 3.5.1 et affecte également les versions antérieures du navigateur dans sa branche 3.x.

Ladite vulnérabilité est liée à un problème au niveau de la manipulation par la méthode JavaScript document.write() de longues chaînes de caractères Unicode. Une preuve de concept est disponible, et l'exploitation de la vulnérabilité de type dépassement de pile à distance peut conduire à l'exécution de code arbitraire ou à défaut à une attaque par déni de service.


Mozilla minimise
Ce sont toutefois des affirmations qui ne sont pas partagées par l'équipe de sécurité Mozilla, qui dimanche, a sinon démenti du moins minimisé l'impact du bug effectivement présent dans Firefox, en précisant que la vulnérabilité ne peut pas être exploitée.

" Alors que ces chaînes de caractères peuvent provoquer des plantages de certaines versions de Firefox, les rapports dans la presse et de plusieurs agences de sécurité ont indiqué de manière incorrecte qu'il s'agit d'un bug exploitable. Nos analyses indiquent que ce n'est pas le cas, et nous n'avons constaté aucun exemple d'exploitation ".

 

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #491391
On peut leur faire confiance, le code étant libre et ouvert. Et chaque bug, chaque faille sont très bien détaillées.
Toute manière, une mise a jour de no-script est très probable au cas ou si ça touche son domaine.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]