Faille zero-day liée au JavaScript sur Mozilla Firefox

Le par  |  33 commentaire(s)
firefox

Aucun navigateur Internet n'est totalement à l'abri d'une tentative de piratage, c'est bien connu.

Aucun navigateur Internet n'est totalement à l'abri d'une tentative de piratage, c'est bien connu. On a souvent critiqué--le plus souvent à juste titre--Internet Explorer pour la légèreté de sa sécurité, et loué dans le même temps Mozilla Firefox pour les raisons inverses. Cet ordre établi est-il sur le point de voler en éclats '


Le rendez-vous des chapeaux noirs...
FirefoxLa conférence ToorCon de Los Angeles est l'un des nombreux rendez-vous annuels au cours desquels des hackers de tous horizons (et de toutes persuasions) peuvent se rencontrer, et échanger leurs dernières trouvailles en matière de sécurité informatique. Ils font le plus souvent preuve d'un grand sens des responsabilités lorsqu'ils dévoilent de nouvelles failles, mais il pourrait en aller différemment cette fois : une vulnérabilité affectant la gestion du langage JavaScript sur Mozilla Firefox a fait l'objet d'un exposé suffisamment complet pour que les quelques individus malveillants présents puissent s'en servir à des fins peu avouables. Window Snyder, la très jolie responsable de la sécurité chez Mozilla, était également présente, et a pratiquement dû supplier les éventuels pirates de collaborer, moyennant finance, avec sa firme pour faire disparaître cette faille, plutôt que de l'utiliser à des fins délictueuses. Il est probable que ses propos restent lettre morte...


Ce qui ne nous tue pas nous rend plus fort '
La vulnérabilité en elle-même touche la manière dont le langage JavaScript est géré par Firefox. D'après les informations divulguées par nos deux hackers durant leur présentation, Mozilla disposerait de suffisamment d'information pour mieux cerner le problème. Sa résolution est une autre affaire, comme le reconnaît Mlle Snyder : "Apparemment, il y avait assez d'information dans la présentation pour permettre la préparation d'une attaque, même s'il s'agit en fait d'une variante d'une faille relativement ancienne. Je déplore cette attitude, car elle met l'utilisateur final en danger. Ceci étant, apporter un correctif ne sera pas chose facile, surtout si la vulnérabilité est bien localisée dans la machine virtuelle qui gère les contenus écrits en JavaScript."

Nos deux hackers, de leur côté, semblent s'être servis de cette faille pour attirer l'attention sur eux, et sur leurs travaux ; ils déclarent avoir repéré 30 autres vulnérabilités affectant Mozilla Firefox, mais entendent pour l'instant les garder pour eux. Appelé sur l'estrade, Jesse Ruderman, un des principaux chercheurs en matière de sécurité chez Mozilla, a également demandé aux participants et aux présentateurs de faire bon usage de leurs trouvailles, notamment en les mettant à disposition de l'éditeur de Firefox, contre rémunération, plutôt que de les utiliser pour propager toutes sortes de menaces, et notamment la mise en place de botnets, ces réseaux fantômes automatisés qui se servent des PC d'internautes insouciants pour relayer leurs messages. Les deux hackers ont éclaté de rire en entendant la supplique de Ruderman, indiquant qu'ils travaillaient pour le bien de la communauté des internautes, et que ces réseaux leur servaient à discrètement entrer en communication avec leurs homologues de tous les pays.

Et pendant ce temps, la marmotte met le chocolat dans le papier alu, si je me souviens bien...


Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #133585
"Les deux hackers ont éclaté de rire en entendant la supplique de Ruderman, indiquant qu'ils travaillaient pour le bien de la communauté des internautes, et que ces réseaux leur servaient à discrètement entrer en communication avec leurs homologues de tous les pays"

Mouais, et l'éthique des hackers ' Ce sont deux gros trous du cul. Car ils disent avoir découvert 30 vulnérabilités. Mais sans preuve de leur découverte, est-ce vrai ou faux '

Quand à la faille 0-day, elle sera contournable en désactivant Javascript.

Je ne sais pas pourquoi mais je sens que monsieur "ActiveX" va bientôt nous pondre son habituel discours...

Et aussi, sur quelle version de firefox ' La 1.5.0.x ' La 2.0rc1 ' Une autre '

Bref, comme d'habitude on verra bien si les sites pièges se présentent sur la toile.
Le #133595
Jusqu'à preuve du contraire, l'usage du conditionnel est souhaité: il faudrait savoir si cela est vrai
Le #133596
Ce qui me parait curieux, c'est que c'est "...une variante d'une faille relativement ancienne..." ; si les 30 autres sont du même acabit....

Bref, un "bon" moyen, pour eux, de se faire du blé ("...moyennant finance..." )...

Ca serait moindre mal, si d'aventure ce sont des illuminés au service d'une cause obscure.........
Le #133601
"Window Snyder, la très jolie responsable de la sécurité chez Mozilla, était également présente, et a pratiquement dû supplier les éventuels pirates de collaborer, moyennant finance, avec sa firme pour faire disparaître cette faille, plutôt que de l'utiliser à des fins délictueuses. Il est probable que ses propos restent lettre morte..."

Serait p'etre temps qui changent de methodes chez mozilla. Donnez moi un P90, quelques "outils" et un local adapté et vous verez qu'ils vont bien vite me les reveler, leurs failles, bien plus facilement qu'avec les $$$ de miss snyder.
Le #133602
lionnel >>>J'ai le P90
Le #133605
Mais c'est tant mieux...ça montrera encore une fois qu'IE n'est pas le seul à avoir des failles...
Le #133606
LA grande differenvce c'est que si la faille avait concerné IE, ces bandes de TDC qui se font passer pour des hackers n'auraient pas fait les malins face aux "gros bonnets" de microsoft. Ttop gros comme gibier. Comme ils savent bien que mozilla ne va pas les trainer devant les tribunaux et n'ont pas une aemée d'avocats, ils font les fiers.
Le #133609
jvachez est malade '
Le #133611
jvachez
le monde a besoin de toi
Le #133622
d'où l'utilité de l'extension indispensable à Firefox : NoScript
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]