BlogZiNet

Ce n'était pas une vulnérabilité de sécurité mais seulement un bogue faisant planter le navigateur et nécessitant parfois de redémarrer le système. C'est ce qu'affirme Mike Shaver, VP de l'ingénierie de Mozilla Corporation, sur le blog sécurité de Mozilla à propos d'alertes émises par certaines officines en sécurité dont le SANS. Le bogue, relatif au traitement de certaines chaînes Unicode très longues, existe bien dans Firefox 3.5.1 (et précédents) mais ce n'est pas une faille de sécurité hautement critique, tout juste un déni de service local. « Bien que ces chaînes peuvent résulter en des plantages de certaines versions de Firefox, des rapports par la presse et par divers agences de sécurité ont indiqué à tort qu'il s'agissait d'un bogue exploitable. Nos analyses indiquent qu'il n'en est rien et que nous n'avons constaté aucun exemple d'exploitation », déclare Mike Shaver. SecurityFocus a corrigé son alerte pour indiquer qu'il ne s'agit que d'un déni de service et que le problème ne peut pas être exploité pour exécuter du code.

Le SANS confirme la présence d'une nouvelle vulnérabilité dans Firefox 3.5.1 qui vient de sortir. Cette vulnérabilité découverte (par le même individu que la précédente) dans Firefox 3.5 dispose de son exploit PoC (démonstration de faisabilité) publié. La vulnérabilité peut mener à une compromission du système ou provoquer un DOS. L'IBM Internet Security Systems classe cette faille comme étant à haut risque.

Mozilla Firefox is vulnerable to a stack-based buffer overflow. By sending an overly long string of unicode data to the document.write method, a remote attacker could overflow a buffer and execute arbitrary code on the system or cause the application to crash.

MÀJ : Selon Mozilla, ce bogue est bien présent dans Firefox 3.5.1 et précédents mais n'est pas exploitable.

Secunia publie une alerte de sécurité à propos d'une vulnérabilité hautement critique (quatrième niveau de gravité sur cinq) dans le navigateur Mozilla Firefox 3.5. Selon le blog Security Fix du Whashington Post, les instructions montrant aux hackers comment exploiter la faille ont été publiées en ligne. Cette faille n'est pas actuellement corrigée par Mozilla. La vulnérabilité est due à une erreur dans le traitement du JavaScript par exemple dans les balises HTML « font » et peut être exploitée pour causer une corruption de la mémoire. Une exploitation réussie permet l'exécution d'un code arbitraire. La vulnérabilité est confirmée dans la version 3.5. Elle a été introduite avec l'ajout du nouveau moteur JavaScript Tracemonkey dans Firefox 3.5.

Secunia conseille de ne pas visiter des sites Web qui ne sont pas de confiance et de suivre des liens qui ne sont pas non plus de confiance. Security Fix et le blog sécurité de Mozilla proposent comme solution provisoire de contournement la désactivation du compilateur JIT dans le moteur JavaScript. Saisissez « about:config » dans la barre d'adresse du navigateur, promettez de faire attention, puis saisissez « javascript.options.jit.content » dans la barre de filtre. Double-cliquez sur l'option « javascript.options.jit.content » affichée pour faire passer la valeur de « true » à « false ». Le changement ralentira l'exécution du JavaScript pour la faire revenir à la vitesse des versions 3.0.

MÀJ : Dancho Danchev confirme que l'extension NoScript détecte la tentative du PoC (démonstration de faisabilité) d'accéder à file://.

Jerome Saiz de SecurityVibes nous informe d'une vulnérabilité 0 day dans Internet Explorer (l'alerte vient du SANS). Cette faille publiée sur le Net avant d'être soumise à l'éditeur est actuellement exploitée. Le composant vulnérable est msVidCtl dans Microsoft DirectShow. Il semble que Vista et Windows Server 2008 ne soient pas vulnérables, contrairement à Windows XP et Windows Server 2003. Des versions précédentes sont sûrement aussi vulnérables.

L'exploit est activement exploité (oui, c'est pas beau) grâce à des milliers de sites Web nouvellement compromis. Le code a été publié dans le domaine public via un certain nombre de sites Web chinois.

Plutôt que d'appliquer la solution de contournement proposée, utilisez un meilleur navigateur comme le nouveau Firefox 3.5.