Faille zero day dans Firefox 3.6
Un chercheur russe prétend avoir découvert une vulnérabilité dans Firefox que Secunia classe comme « hautement critique ». Il aurait créé un code exploitant cette vulnérabilité non corrigée qui affecterait Firefox 3.6. L’exploit ne serait pas encore facilement disponible mais peut être acquis avec le framework d’exploits payant (VulnDisco) que le Russe vend. L’exploit permettrait à un attaquant d’exécuter à distance du code malicieux sur le PC dont l’utilisateur surfe avec un Firefox vulnérable.
Firefox 3.6 est cité mais des versions antérieures pourraient aussi être affectées. Le Russe dit qu’il a testé le code sur Windows XP et Vista mais ne dit rien sur les autres plateformes. On ne sait pas si elles sont aussi vulnérables mais pas testées ou simplement pas visées par son code.
Mozilla appelle les chercheurs en sécurité à coopérer et à divulguer les failles dans un processus de responsible disclosure permettant à l’éditeur de protéger ses utilisateurs avant la publication du code exploitant la vulnérabilité découverte.
Sources et références
- The Register, Attack code for Firefox zero-day goes wild, says researcher, 18 fév. 2010, Dan Goodin
- Secunia, Mozilla Firefox Unspecified Code Execution Vulnerability, 18 fév. 2010