mardi 21 juillet 2009
Mozilla : le bogue de Firefox 3.5.1 n'est pas exploitable
Par Mozinet, mardi 21 juillet 2009 à 18:29 :: Mozilla - Navigateurs - Sécurité
Ce n'était pas une vulnérabilité de sécurité mais seulement un bogue faisant planter le navigateur et nécessitant parfois de redémarrer le système. C'est ce qu'affirme Mike Shaver, VP de l'ingénierie de Mozilla Corporation, sur le blog sécurité de Mozilla à propos d'alertes émises par certaines officines en sécurité dont le SANS. Le bogue, relatif au traitement de certaines chaînes Unicode très longues, existe bien dans Firefox 3.5.1 (et précédents) mais ce n'est pas une faille de sécurité hautement critique, tout juste un déni de service local. « Bien que ces chaînes peuvent résulter en des plantages de certaines versions de Firefox, des rapports par la presse et par divers agences de sécurité ont indiqué à tort qu'il s'agissait d'un bogue exploitable. Nos analyses indiquent qu'il n'en est rien et que nous n'avons constaté aucun exemple d'exploitation », déclare Mike Shaver. SecurityFocus a corrigé son alerte pour indiquer qu'il ne s'agit que d'un déni de service et que le problème ne peut pas être exploité pour exécuter du code.
Sources et références
- Mozilla Security Blog, milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479), 19 juil. 2009, Mike Shaver
- SecurityFocus, Mozilla Firefox Unicode Data Remote Denial of Service Vulnerability, 15 juil. 2009, MÀJ 20 juil. 2009