1er faille dans Fx 1.5
Le
christophe C
le lien :
http://www.futura-sciences.com/news...5_7776.php
--
-> http://batraciens.net/ - "BATRACIENS" : Articles et photos sur
l'élevage et la maintenance des batraciens, aquatiques ou terrestres.
Petites annonces.
-> http://css-astuces.batraciens.net/ - "CSS-ASTUCES" : Trucs et astuces
de codage CSS pour enrichir vos pages Web.
-> http://www.priceminister.com/boutique/batra3 - Je vend mes livres SF
d'occasion.
http://www.futura-sciences.com/news...5_7776.php
--
-> http://batraciens.net/ - "BATRACIENS" : Articles et photos sur
l'élevage et la maintenance des batraciens, aquatiques ou terrestres.
Petites annonces.
-> http://css-astuces.batraciens.net/ - "CSS-ASTUCES" : Trucs et astuces
de codage CSS pour enrichir vos pages Web.
-> http://www.priceminister.com/boutique/batra3 - Je vend mes livres SF
d'occasion.
Poser une question
Pffff. Programmeurs de mes deux.
Alors, fait donc mieux qu'eux.
--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Une faille partielle, qui est facilement contournable.
De plus, ce n'est pas une faille liée à la sécurité du logiciel, pour la
simple et bonne raison que le bug est librement affiché :
https://bugzilla.mozilla.org/show_bug.cgi?id19004
De plus, la preuve de faisabilité crée une adresse de 2,5 millions de
caractères !
Plus d'infos sur ce billet :
http://frederic.bezies.free.fr/blog/?p
--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
« [...] Secunia qualifie la faille de « Not critical » et FrSirt parle
de « risque bas ». La lecture de l'article du SANS cité dans les deux
articles trouvés et les déclarations de l'ingénieur de la fondation
Mozilla montrent que les conditions d'utilisation pour faire planter le
navigateur (seulement) ne sont pas des plus aisées à réunir pour une
exploitation à grande échelle et des mesures simples de contournement
existent pour ceux qui ne se sentiraient pas en sécurité (par exemple
parce qu'ils surfent sur des sites pas très nets). »
« [...] Il est à craindre que même des sites plus professionnels
penchent pour le sensationnalisme et ne fassent de nouveau plus de bruit
sur une faille mineure de Firefox non exploitée alors qu'au même moment
Internet Explorer est frappé par une faille extrêmement critique non
corrigée avec des preuves d'exploitation. [...] »
Vu sur :
http://blogzinet.free.fr/index.php?...s-securite
--Bob
Je me répète :
http://www.mozilla.org/security/
Security Advisory (December 8, 2005) We have investigated reports of an
exploit involving web pages with long titles and have found no risk to
users beyond a temporary unresponsiveness at startup. We have posted
details and instructions on clearing history data.
La traduction en français :
Nous avons étudié les avertissements publiés au sujet d'une faille
concernant les pages utilisant des titres très longs et n'avons isolé
aucun risque pour les utilisateurs au delà de la non-réponse temporaire
du navigateur au démarrage.
(Pour préciser, d'après MoFo le navigateur est très lent à démarrer, il
peut devenir tellement lent que vous serez obligé de l'arrêter de force,
mais il ne crashe pas, et donc il n'y a pas de possibilité d'exploiter
ce comportement pour attaquer les données de l'utilisateur).