Il est temps de mettre le renardeau à jour : plusieurs failles, dont une jugée extrêmement critique, frappent le navigateur libre Firefox. La vulnérabilité la plus importante touche l'interprétation des images au format GIF et permet l'exécution de code malicieux sur l'ordinateur de la victime. Une nouvelle version de Firefox est disponible afin de corriger ces failles.

Vulnérabilités

Adeptes de Firefox, il est temps de télécharger la version 1.0.2 de votre navigateur ! Toutes les versions précédentes sont en effet affublées de plusieurs failles importantes, dont l'une est même jugée extrêmement critique.

La vulnérabilité frapperait un vieux composant hérité du navigateur Netscape et mis à contribution lors de l'interprétation des images au format GIF, très répandues sur le web.

Une image trafiquée pourrait alors provoquer un dépassement de la pile dans le navigateur et permettre l'exécution d'un code malicieux sur l'ordinateur de la victime. Rien de très original, donc, mais il s'agit d'une faille tout à fait exploitable.

Cette découverte intervient alors que la Fondation Mozilla maintient son offre de récompense pour chaque faille de sécurité importante découverte dans le code de Firefox.

Les hackers (au sens noble du terme) semble désormais orienter leurs recherches vers les vieux morceaux de code hérités de l'ancêtre Netscape.

La fondation insiste sur le processus de développement open source qui fait que ses produits sont plus sur que les commerciaux au code secret. Chris Hoffman dans eWeek ou Asa sur son blog (ci-dessous) ne disent rien de différent :

Nous travaillons dur pour construire une réputation de diffuseur de produit sûr. Cette réputation n'a pas été gagnée par un travail de relations publiques de quelques milliards de dollars avec des phrases accrocheuses, il a été gagné parce que nous avons attiré de formidables talents de partout à travers le monde. Ils examinent continuellement note code source ouvert et testent nos sorties et versions pour développeurs, aidant à trouver et corriger les failles logicielles avant qu'elles ne deviennent des exploits de sécurité.

C'est un des domaines où le logiciel propriétaire a du mal à concurrencer l'open source et la découverte et la correction de ce dépassement de mémoire tampon des GIF est un exemple parfait. Parce que les experts en sécurité ont un accès direct au code tel qu'il est développé et ont une entrée directe dans note processus de développement et de test, ce genre de problèmes nous sont habituellement directement rapportés.