Mozilla Firefox : Faille de sécurité..?

Le
F5PBG
Bonjour,

je viens de lire ceci :

<<

Les pirates à l'assaut de Firefox ?
==

Bientôt dix jours et la dernière vulnérabilité critique découverte dans Firefox
n'est toujours pas corrigée. Pour faire patienter ses utilisateurs, la
Fondation Mozilla a publié un réglage spécifique chargé de désactiver le
composant troué. Mais la nouvelle ne s'est pas vraiment ébruitée et la grande
majorité des navigateurs libres demeurent vulnérables. C'est dommage, car du
côté des pirates on s'active pour tenter d'exploiter cette faille à grande
envergure.

L'agitation est évidente sur les listes de diffusion spécialisées : on y
travaille dur pour trouver un exploit efficace contre Firefox. Depuis
l'annonce, il y a dix jours, d'une vulnérabilité critique, le navigateur libre
se retrouve ainsi l'objet de toutes les attentions. Le découvreur de la faille
n'ayant pas publié son code d'exploitation, les petites mains du hacking s'y
sont mis dès l'annonce officielle. Depuis, plusieurs exploits ont été annoncés
sur des listes de discussion, mais aucun n'est encore très convaincant (ils
sont non confirmés, instables ou utilisables dans une configuration de Windows
trop particulière pour être rentables).

Aucun de ces PoC1 n'a en outre été rendu public, et il semblerait qu'aucune
attaque impliquant cette vulnérabilité ne se soit encore produite. Mais il ne
faudra probablement plus très longtemps avant qu'un code d'exploitation ne soit
diffusé. Et s'il se trouve être stable et simple à reproduire, Firefox pourrait
alors se retrouver dans une situation que connaît très bien Internet Explorer :
ouvrant la porte du PC aux codes malicieux en tous genres.

Sauf, bien, sûr, si la Fondation Mozilla parvient à sortir une version corrigée
à temps. Mais dix jours après l'annonce de la faille, elle n'a encore publié
aucun vrai correctif. Certes, au lendemain de la publication elle diffusait des
instructions et un patch censé désactiver le composant vulnérable en attendant
la version suivante du navigateur. Mais rare sont les internautes à en avoir
entendu parler et la grande majorité des versions 1.0.6 en circulation
demeurent donc vulnérables.

Heureusement, la version salvatrice (1.0.7) n'est plus très loin. Quelques
jours à peine après la publication de la faille une bêta était d'ailleurs déjà
téléchargeable pour les connaisseurs. Elle n'a cessé de mûrir et elle en est
désormais au stade de pré-diffusion dit de "Release Candidate".

Cette affaire a de quoi laisser une impression mitigée aux défenseurs de l'Open
Source : certes, un correctif provisoire (et sommaire, puisqu'il se contentait
de désactiver la fonction vulnérable) était bien disponible au lendemain de la
publication de la faille. L'honneur est donc sauf en ce qui concerne la
rapidité de réaction. Mais dix jours après, aucune version corrigée finale
n'est encore disponible. Et surtout bien peu d'internautes sont au courant de
l'existence du patch provisoire ou d'une bêta capable de les protéger (même
s'il ne s'agit pas de son rôle).

Dans ces conditions le manque de communication efficace a rendu inutile la
célérité de la Fondation Mozilla. A défaut d'être capable d'avertir ses
utilisateurs les moins spécialistes, Firefox aurait tout aussi bien pu rester
non corrigé ces dix derniers jours.

1 - PoC : Proof of Concept. Programme démontrant la faisabilité de l'attaque.
Ces PoC ne sont généralement pas des programmes nocifs, mais des programmes de
démonstration. Toutefois il est évident qu'un programme nocif (ver ou virus)
peut facilement être développé ensuite à partir de ce code rendu public.

>>

Voilà, info ou intox..?

A+
Ludovic
http://radioamateur.forumactif.com
http://inforadio.free.fr
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Jean-Francois BILLAUD
Le #1460115
F5PBG écrivait :

Bonjour,


Bonjour,

Heureusement, la version salvatrice (1.0.7) n'est plus très loin.


Disponible aujourd'hui même en version anglaise, les gens pressés utiliseront
le module xpi de francisation de la version 1.0.6.
http://ftp.eu.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/linux-i686/xpi/fr-FR.xpi


JFB

--
("< 21e Festival international du film ornithologique >")
/ ) Ménigoute (79) - 27 octobre au 1er novembre 2005 (
^ http://www.menigoute-festival.org ^

Emmanuel Delahaye
Le #1460114
F5PBG wrote on 21/09/05 :
Bonjour,

je viens de lire ceci :

<<

Les pirates à l'assaut de Firefox ?


J'ai peur !

--
Emmanuel
The C-FAQ: http://www.eskimo.com/~scs/C-faq/faq.html
The C-library: http://www.dinkumware.com/refxc.html

"C is a sharp tool"

Poster une réponse
Anonyme