Vulnérabilités
Vers un assaut contre Firefox ?
Par Jerome Saiz, le 18 sept 2005 à 23:32:00.
Bientôt dix jours et la dernière vulnérabilité critique découverte dans Firefox n'est toujours pas corrigée. Pour faire patienter ses utilisateurs, la Fondation Mozilla a publié un réglage spécifique chargé de désactiver le composant troué. Mais la nouvelle ne s'est pas vraiment ébruitée et la grande majorité des navigateurs libres demeurent vulnérables. C'est dommage, car du côté des pirates on s'active pour tenter d'exploiter cette faille à grande envergure. [Mis à jour le 21/09/05]
L'agitation est évidente sur les listes de diffusion spécialisées : on y travaille dur pour trouver un exploit efficace contre Firefox. Depuis l'annonce, il y a dix jours, d'une vulnérabilité critique, le navigateur libre se retrouve ainsi l'objet de toutes les attentions. Le découvreur de la faille n'ayant pas publié son code d'exploitation, les petites mains du hacking s'y sont mises dès l'annonce officielle. Depuis, plusieurs exploits ont été annoncés sur des listes de discussion, mais aucun n'est encore très convaincant (ils sont non confirmés, instables ou utilisables dans une configuration de Windows trop particulière pour être rentables).
Aucun de ces PoC n'a en outre été rendu public, et il semblerait qu'aucune attaque impliquant cette vulnérabilité ne se soit encore produite. Mais il ne faudra probablement plus très longtemps avant qu'un code d'exploitation ne soit diffusé. Et s'il se trouve être stable et simple à reproduire, Firefox pourrait alors se retrouver dans une situation que connaît très bien Internet Explorer : ouvrant la porte du PC aux codes malicieux en tous genres.
Sauf, bien, sûr, si la Fondation Mozilla parvient à sortir une version corrigée à temps. Mais dix jours après l'annonce de la faille, elle n'a encore publié aucun vrai correctif. Certes, au lendemain de la publication elle diffusait des instructions et un patch censé désactiver le composant vulnérable en attendant la version suivante du navigateur. Mais rare sont les internautes à en avoir entendu parler et la grande majorité des versions
1.0.6 en circulation demeurent donc vulnérables.Heureusement, la version salvatrice (
1.0.7) n'est plus très loin. Quelques jours à peine après la publication de la faille une bêta était d'ailleurs déjà téléchargeable pour les connaisseurs. Elle n'a cessé de mûrir et elle en est désormais au stade de pré-diffusion dit de "Release Candidate".Mise à jour du 21/09/05 : Firefox 1.0.7 est désormais disponible.
Cette affaire a de quoi laisser une impression mitigée aux défenseurs de l'Open Source : certes, un correctif provisoire (et sommaire, puisqu'il se contentait de désactiver la fonction vulnérable) était bien disponible au lendemain de la publication de la faille. L'honneur est donc sauf en ce qui concerne la rapidité de réaction. Mais dix jours après, aucune version corrigée finale n'est encore disponible. Et surtout bien peu d'internautes sont au courant de l'existence du patch provisoire ou d'une bêta capable de les protéger (même s'il ne s'agit pas de son rôle).
Dans ces conditions le manque de communication efficace a rendu inutile la célérité de la Fondation Mozilla. A défaut d'être capable d'avertir ses utilisateurs les moins spécialistes, Firefox aurait tout aussi bien pu rester non corrigé ces dix derniers jours.
Plus d'information
- La description du patch provisoire et son installation.
- Le site de téléchargement de la version 1.0.7 beta. Si vous testez cette version, n'oubliez pas de signaler les bugs éventuels à la Fondation Mozilla... c'est le but d'une bêta !
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
