Les experts craignent une exploitation de la faille affectant Firefox et Mozilla
Par Blog marocain, jeudi 22 septembre 2005 à 14:10 :: Nouveauté :: #95 :: rss
Il aura suffi de quelques heures à un étudiant en informatique pour exploiter la vulnérabilité décelée dans les navigateurs. S'il n'a pas publié le code qu'il a créé, des experts craignent que des personnes malveillantes passent à l'action.
Des experts en sécurité informatique s’alarment: quelques jours après la publication de la faille de sécurité affectant les navigateurs Firefox et Mozilla, des programmeurs ont réussi à l’exploiter.
Elle a été décelée la semaine dernière par Tom Ferris. Rapidement les équipes de la Mozilla Foundation ont publié un correctif temporaire, en attendant de développer une mise à jour.
Outre les logiciels signés Mozilla, basés sur le même moteur, le problème concerne également la dernière version du navigateur Netscape. La division Netscape, qui appartient à la filiale AOL de Time Warner, indique enquêter sur le sujet, selon un de ses représentants.
Les programmeurs qui ont trouvé le moyen de profiter de la vulnérabilité l’ont fait savoir sur des listes de diffusion dédiées à la sécurité. «Il nous a fallu environ 3h30 pour trouver le code, alors d’autres que moi y parviendront sûrement aussi», témoigne ainsi Berend-Jan Wever, étudiant néerlandais en informatique. Son code fonctionne sous Windows XP et Windows Server 2003. Mais d’autres spécialistes indiquent qu'il fonctionne aussi sous Linux.
Pas de correction avant la prochaine version de Firefox
Comme Tom Ferris, l’étudiant n’a pas publié les lignes de code en question, mais a seulement souhaité sonner l'alerte. Aucune attaque réelle n’a pour l’instant été signalée, a indiqué un représentant du FrSIRT (French Security Incident Response Team) par e-mail, qui avait qualifié le problème de «critique» dans un bulletin de sécurité. Il redoute que des personnes malintentionnées écrivent ou achètent du code malveillant, afin d’attaquer des machines tierces. «J’ai déjà reçu des offres de ce genre par e-mail», témoigne d'ailleurs Ferris.
La faille concerne la façon dont le navigateur gère les noms de domaine internationaux (IDN), qui prennent en charge les caractères linguistiques locaux. En attendant le patch définitif, la Mozilla Foundation conseille aux utilisateurs de Firefox et Mozilla d’appliquer sa rustine, qui désactive cette fonction IDN. L’opération peut être également faite manuellement, en suivant des instructions fournies.
Le problème sera corrigé dans la version bêta 2 de Firefox (disponible le 5 octobre), où la fonction IDN sera réactivée.
Un film américain de Joss Whedon avec Robert Downey Jr, Chris Evans, et Mark Ruffalo... - Genre : Action - Durée : 2H20mn
Un film américain de Jon Hurwitz et Hayden Schlossberg avec Jason Biggs, Alyson Hannigan, Shannon... - Genre : Comédie - Durée : 1H54mn
Un film français de Alexandre de La Patellière et Matthieu Delaporte avec Patrick Bruel, Valérie... - Genre : Comédie - Durée : 1H49mn
Un film français de Alain Chabat avec Jamel Debbouze, Alain Chabat, Fred Testot, Lambert Wilson,... - Genre : Comédie - Durée : 1H45mn
Un film français de Philippe Chauveron avec Elie Semoun, Joséphine de Meaux, Hélèna Noguerra, et... - Genre : Comédie - Durée : 1H34mn
Commentaires
1. Le dimanche 25 septembre 2005 à 14:42, par ntic
2. Le dimanche 25 septembre 2005 à 19:48, par Made in Morocco
Ajouter un commentaire