Firefox 3.6.3 corrige déjà la faille du Pwn2Own

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Firefox 3.6.3 corrige déjà la faille du Pwn2Own

Publié le 02 avril 2010 à 09:00 par Jérôme G.

Lire sur mobile

La Fondation Mozilla livre une version de maintenance de Firefox qui passe au numéro 3.6.3. La correction d'une unique vulnérabilité de sécurité révélée la semaine dernière à l'occasion du concours de hacking Pwn2Own.

C'est une mise à jour surprise qu'a mis en ligne jeudi la Fondation Mozilla. Pas de poisson d'avril si ce n'est peut-être un pied de nez à tous les éditeurs concurrents, histoire de démontrer que plus que le décompte du nombre de vulnérabilités de sécurité, c'est bien la vitesse à les corriger qui prime.

Il n'y avait pourtant pas véritablement urgence car l'unique faille que comble Firefox 3.6.3 a été dévoilée à l'occasion du récent concours de hacking Pwn2Own. De fait, pas de divulgation publique et seul Mozilla a eu connaissance des tenants et des aboutissants de ce trou de sécurité. Mais enfin, cela fait bonne figure.

On apprend donc que la faille critique aujourd'hui corrigée et qui a été exploitée sous Windows 7 par le dénommé Nils de MWR InfoSecurity, est de type corruption de mémoire avec pour conséquence l'exécution de code arbitraire.

" En déplaçant des nœuds du DOM entre documents, Nils a trouvé un cas où le nœud déplacé conserve de manière incorrecte son ancien champ d'application. Si le garbage collector ( ndlr : supprime toutes les variables qui font référence à un nœud ) est déclenché à un certain moment, alors Firefox pourrait plus tard utiliser l'objet libéré "

, explique Mozilla.

L'exploit utilisé par Nils affecte uniquement Firefox 3.6 et pas les versions antérieures. Néanmoins, Firefox 3.5 ( le support de Firefox 3.0 a pris fin ) va prochainement bénéficier d'une version de maintenance, dans la mesure où une méthode alternative pour y déclencher le bug pourrait être élaborée.

Dans le cadre du concours Pwn2Own, des vulnérabilités affectant Internet Explorer 8 et Safari 4 ont également été mises au jour. Ces dernières n'ont pas été corrigées que ce soit par la mise à jour cumulative d'IE ou via la mise à jour 10.6.3 de Mac OS X que Microsoft et Apple ont publié cette semaine. Rappelons que Google Chrome 4 n'a pas eu à subir des assauts lors du concours.

À défaut d'avoir recours au mécanisme interne de mise à jour de Firefox, la version 3.6.3 peut être téléchargée depuis cette page pour la langue et le système d'exploitation de son choix. Récemment, Mozilla a indiqué que Firefox comptait plus de 350 millions d'utilisateurs à travers le monde pour une part de marché de l'ordre de 30 %.