Firefox 3.6.3 corrige déjà la faille du Pwn2Own

Le par  |  5 commentaire(s)
Firefox_Nouveau_Logo

La Fondation Mozilla livre une version de maintenance de Firefox qui passe au numéro 3.6.3. La correction d'une unique vulnérabilité de sécurité révélée la semaine dernière à l'occasion du concours de hacking Pwn2Own.

Firefox_Nouveau_LogoC'est une mise à jour surprise qu'a mis en ligne jeudi la Fondation Mozilla. Pas de poisson d'avril si ce n'est peut-être un pied de nez à tous les éditeurs concurrents, histoire de démontrer que plus que le décompte du nombre de vulnérabilités de sécurité, c'est bien la vitesse à les corriger qui prime.

Il n'y avait pourtant pas véritablement urgence car l'unique faille que comble Firefox 3.6.3 a été dévoilée à l'occasion du récent concours de hacking Pwn2Own. De fait, pas de divulgation publique et seul Mozilla a eu connaissance des tenants et des aboutissants de ce trou de sécurité. Mais enfin, cela fait bonne figure.

On apprend donc que la faille critique aujourd'hui corrigée et qui a été exploitée sous Windows 7 par le dénommé Nils de MWR InfoSecurity, est de type corruption de mémoire avec pour conséquence l'exécution de code arbitraire.

" En déplaçant des nœuds du DOM entre documents, Nils a trouvé un cas où le nœud déplacé conserve de manière incorrecte son ancien champ d'application. Si le garbage collector ( ndlr : supprime toutes les variables qui font référence à un nœud ) est déclenché à un certain moment, alors Firefox pourrait plus tard utiliser l'objet libéré "

, explique Mozilla.

L'exploit utilisé par Nils affecte uniquement Firefox 3.6 et pas les versions antérieures. Néanmoins, Firefox 3.5 ( le support de Firefox 3.0 a pris fin ) va prochainement bénéficier d'une version de maintenance, dans la mesure où une méthode alternative pour y déclencher le bug pourrait être élaborée.

Dans le cadre du concours Pwn2Own, des vulnérabilités affectant Internet Explorer 8 et Safari 4 ont également été mises au jour. Ces dernières n'ont pas été corrigées que ce soit par la mise à jour cumulative d'IE ou via la mise à jour 10.6.3 de Mac OS X que Microsoft et Apple ont publié cette semaine. Rappelons que Google Chrome 4 n'a pas eu à subir des assauts lors du concours.

À défaut d'avoir recours au mécanisme interne de mise à jour de Firefox, la version 3.6.3 peut être téléchargée depuis cette page pour la langue et le système d'exploitation de son choix. Récemment, Mozilla a indiqué que Firefox comptait plus de 350 millions d'utilisateurs à travers le monde pour une part de marché de l'ordre de 30 %.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #619281
Je comprends très bien le discours de Mozilla que ce qui compte c'est plus la vitesse de réaction à corriger les failles que le nombre brut de failles recensées, mais en se pressant pour corriger celle-ci qui n'était pas urgente ça donne l'impression aux non-geeks que le navigateur n'est pas très sûr.

Est-ce qu'ils ont essayé de se mettre à la place de l'internaute lambda ? Mise à jour de sécurité la semaine dernière, une autre cette semaine : ça suscite la psychose.

A mon avis il aurait été plus simple d'annoncer que la faille était bouchée et que la mise à jour serait publiée la semaine prochaine : les geeks sont contents de l'apprendre et les autres n'ont pas l'impression qu'ils sont à la merci de la prochaine génération spontanée de virus si un patch n'arrive pas assez vite.
En plus si ça peut permettre de bien tester qu'il n'y a aucune régression majeure...
Le #619291
La version Firefox 3.6.3 est ici :
http://www.mozilla.com/en-US/firefox/all-beta.html
Le #619311
Ce qu'il faudrait c'est un mode de mise a jour incrémentale (3-4 ko) assimilable immédiatement par firefox, sans redemarrage et surtout sans avoir a réinstaller et se taper la compatibilité des add-ons entre chaque amélioration mineures.
Le #619321
La mise à jour est déjà incrémentale, mais de là à ce qu'elle soit indolore...
Le #619582
+1
Pas eu de soucis, ça s'est fait tout seul.
Perso, ça me tranquilise de savoir que Mozilla travaille sans que j'aie à attendre des mois fébrilement et être paniqué à l'idée de surfer.
c'est TOP mais si il y a beaucoup de failles chez mozilla. Le navigateur est jeune aussi, il évolue car patcher en gardant une relative rapidité de surf, et passer par les labs qualités en si peu de temps, ça n'est pas évident !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]