Vulnérabilités
Un zero-day pour Firefox aussi ?
Par Jerome Saiz, le 01 oct 2006 à 10:54:00.
Une vulnérabilité jusqu'alors inconnue permettrait de prendre le contrôle de Firefox à la visite d'une page web piégée. Si elle n'est pas encore confirmée par la Fondation Mozilla, l'information est cependant jugée crédible par sa responsable de la sécurité. L'annonce de son existence a été faite lors d'une conférence de pirates à San Diego, et ses auteurs affirment en connaître une trentaine de ce type.
Il y a des karmas difficiles. Celui de Window Snyder, par exemple, qui a récemment quitté son poste au sein de l'équipe sécurité Windows chez Microsoft pour devenir responsable de la sécurité du navigateur libre Firefox. Si elle a pensé avoir fait le bon choix à la vue de la série de failles gravissimes qui ont frappé Internet Explorer ces derniers temps, son répit n'aura été que de courte durée.
Selon deux hackers, l'interpréteur Javascript du navigateur libre permettrait de provoquer un dépassement de mémoire tampon exploitable. Il serait ainsi possible, tout comme Internet Explorer, d'installer n'importe quoi sur l'ordinateur à la seule visite d'un site web piégé. Toutes les plates-formes supportées par Firefox (Windows, MacOS X et Linux) sont vulnérables.
Une présentation statique de l'attaque a été faite durant la conférence Toorcon de San Diego. Plusieurs membres de l'équipe sécurité de Firefox y assistaient, dont leur responsable Window Snyder.
Selon elle, la vulnérabilité ressemble à une variante d'une autre, déjà corrigée. Et d'ajouter que si c'est le cas, le patch ne sera pas facile à réaliser. Une estimation que semble partager les pirates, pour qui l'implémentation de Javascript dans Firefox est "un fouillis total, impossible à patcher".
Les deux hackers ont tenus à présenter leur découverte sans avertir la Fondation Mozilla. Et même l'intervention d'un technicien de la fondation, sur scène, aura été inutile. Ce dernier leur aura pourtant rappelé que la Fondation Mozilla offre 500 dollars pour chaque vulnérabilité révélée. Sans effet.
Les pirates, qui affirment disposer d'une trentaine de vulnérabilités du même ordre, ont préféré en faire cadeau à la communauté dite "Black Hat", celle des hackers aux motivations les moins éthiques.
Une fois reproduites, ces vulnérabilités seront donc probablement utilisées pour l'installation de bots et autres logiciels publicitaires sur le ordinateurs des utilisateurs de Firefox.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
