Mozilla : le bogue de Firefox 3.5.1 n'est pas exploitable
Par Mozinet, mardi 21 juillet 2009 à 18:29 :: Mozilla - Navigateurs - Sécurité :: #1090 ::
Ce n'était pas une vulnérabilité de sécurité mais seulement un bogue faisant planter le navigateur et nécessitant parfois de redémarrer le système. C'est ce qu'affirme Mike Shaver, VP de l'ingénierie de Mozilla Corporation, sur le blog sécurité de Mozilla à propos d'alertes émises par certaines officines en sécurité dont le SANS. Le bogue, relatif au traitement de certaines chaînes Unicode très longues, existe bien dans Firefox 3.5.1 (et précédents) mais ce n'est pas une faille de sécurité hautement critique, tout juste un déni de service local. « Bien que ces chaînes peuvent résulter en des plantages de certaines versions de Firefox, des rapports par la presse et par divers agences de sécurité ont indiqué à tort qu'il s'agissait d'un bogue exploitable. Nos analyses indiquent qu'il n'en est rien et que nous n'avons constaté aucun exemple d'exploitation », déclare Mike Shaver. SecurityFocus a corrigé son alerte pour indiquer qu'il ne s'agit que d'un déni de service et que le problème ne peut pas être exploité pour exécuter du code.
Sources et références
- Mozilla Security Blog, milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479), 19 juil. 2009, Mike Shaver
- SecurityFocus, Mozilla Firefox Unicode Data Remote Denial of Service Vulnerability, 15 juil. 2009, MÀJ 20 juil. 2009
Ce billet a été modifié en dernier le 21 July 2009 à 18:34:38.
Commentaires
1. Le mercredi 22 juillet 2009 à 16:11, par Ner0lph
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.