Cette mouture 3.0.8 de Firefox était attendue pour le début de la semaine prochaine mais a finalement été publiée plus tôt que prévu, se cantonnant donc à la correction de vulnérabilités de sécurité, soit deux qualifiées de critiques.

L'une de ces vulnérabilités a été mise au jour à l'occasion du concours Pwn2Own par le mystérieux Nils. Mozilla avait pourtant à priori le temps nécessaire pour la corriger, cette vulnérabilité étant placée sous le sceau du secret par la société organisatrice TippingPoint. La deuxième vulnérabilité paraissait par contre plus urgente à corriger du fait de sa divulgation publique par son découvreur Guido Landi.

Ce chercheur en sécurité italien adepte du full disclosure, une pratique sujette à caution, a découvert et donné toutes les indications nécessaires à l'exploitation d'une vulnérabilité où une feuille de style XSL peut être utilisée pour planter le navigateur lors d'une transformation XSL. Un attaquant peut lui tirer parti de ce crash pour exécuter du code arbitraire sur une machine prise pour cible.

La vulnérabilité du dénommée Nils est quant à elle de type exécution de code arbitraire via l'objet tree de XUL, le langage de description d'interfaces graphiques de Mozilla. Si elle est propre à Firefox, Nils a également découvert et exploité lors du Pwn2Own une vulnérabilité dans Internet Explorer 8, ce qui a retenu l'attention du président de Mozilla Europe qui en profite pour lancer une sorte de défi à Microsoft.

Mozilla a pour coutume de s'inscrire en faux lorsqu'il s'agit d'évaluer le niveau de sécurité d'un navigateur par le simple comptage du nombre de vulnérabilités découvertes. Ces dernières sont inéluctables et Mozilla préfère comme critère de valeur le temps de réactivité, à savoir une correction et un déploiement du correctif idoine aussi vite que possible.


Le défi de Nitot lancé à Microsoft
Réagissant aux propos tenus par Jean-Philippe Courtois, le président de Microsoft Europe, au sujet de la faille IE8 exploitée par Nils et selon qui Microsoft a des " réactions extrêmement rapides en termes de correction de vulnérabilité ", le président de Mozilla Europe se veut joueur.

" Je vous propose donc une petite expérience... Dès que Firefox 3.0.8 est sorti, je déclenche le chrono pour voir combien de temps il faut à Microsoft pour corriger leur problème, qui a été trouvé en même temps que celui de Firefox. On va bien voir ce qu'ils entendent par extrêmement rapide, chez Microsoft. Je me demande si ça sera corrigé lundi ou mardi. Ou le mois prochain. Ou l'année prochaine... Et puis on va voir combien de temps les gens prennent pour le mettre à jour "

, a déclaré Tristan Nitot en s'adressant aux lecteurs de son blog.

Rappelons néanmoins que deux vulnérabilités ont aussi été exploitées dans Safari d'Apple, et encore une fois que la vulnérabilité de IE8 n'a pas été divulguée publiquement. Microsoft  mène l'enquête et a déjà fait savoir que la version d'IE8 utilisée lors du concours Pwn2Own était légèrement différente de celle diffusée sur la Toile la semaine dernière. Une version RTW (Release To Web) qui en outre n'a pas encore intégré le service de mise à jour Windows Update.


Télécharger Firefox 3.0.8 (Windows, Mac OS X, Linux)