Vulnérabilités
Mystère autours de la vulnérabilité Firefox
Par Jerome Saiz, le 03 oct 2006 à 21:20:00.
Dissension chez les deux hackers à l'origine de l'annonce d'une vulnérabilité majeure pour Firefox : le second revient sur les déclarations du premier, et affirme que finalement, non, la faille n'est pas vraiment exploitable. D'ailleurs, en fait personne n'y est arrivé. Et finalement, il s'excuse. La Fondation Mozilla, de son côté, ne dément toutefois pas l'existence de la vulnérabilité. De quoi y perdre son Javascript !
Alors, faille ou pas faille ? L'annonce, cette semaine, d'une vulnérabilité critique dans Firefox aura fait couler beaucoup d'encre, y compris dans les colonnes de Les Nouvelles.net. Et il y avait de quoi : lors de la présentation faite par les deux hackers à l'origine de la découverte, l'affaire était jugée sérieuse par Window Snyder, la responsable de la sécurité de la fondation Mozilla. Cette dernière était même d'accord avec les deux pirates pour reconnaître que la vulnérabilité sera probablement très difficile à corriger.
Ca, c'était il y a deux jours. Depuis, l'annonce est beaucoup moins claire. L'un des deux hacker est revenu sur les propos de son compagnon. Selon Misha Spiegelmock, il ne fallait pas s'affoler : ils n'auraient fait qu'observer la vulnérabilité sans parvenir à l'exploiter au delà d'un crash de l'ordinateur. Mieux : personne, selon eux, n'y serait encore arrivé. Et Spiegelmock va plus loin dans la rétractation. Il ne serait pas au courant des trente vulnérabilités exploitables dans Firefox annoncé par Andrew Wbeelsoi, son confrère, durant leur présentation commune. Notons toutefois qu'il n'affirme pas qu'elles n'existent pas, mais simplement qu'il n'est au courant de rien.
Que reste-t-il de cette annonce ? Pas grand chose pour l'instant, sinon un communiqué de la fondation Mozilla. Window Snyder, notamment, y précise que les recherches se poursuivent pour déterminer si cette vulnérabilité est effectivement exploitable afin d'exécuter du code via le navigateur. Car, et ça n'aide probablement pas à clarifier la situation, selon la fondation, il n'est tout de même pas exclu que quelqu'un parvienne à exploiter cette vulnérabilité.
On appellera ça, à défaut d'autre chose, le "principe de précaution"...
Plus d'information
- Le communiqué officiel de la fondation Mozilla (en anglais).
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
