La chercheur en sécurité Tom Ferris, de Security-Protocols, a découvert une faille de sécurité dans Firefox (version 1.0.6 et inférieures et même la 1.5 Beta 1) ainsi que la suite Mozilla (version 1.7.11 et inférieures), sous tous les systèmes. Netscape est aussi touché (version 8.0.3.3 et inférieures).

Comme bien souvent en matière de sécurité, la faille réside dans un débordement de mémoire tampon. Elle peut engendrer des DoS (déni de service) et du coup faire planter le navigateur en un clic.  Ce débordement concerne la fonction « NormalizeIDN » utilisée pour le support de l’IDN ou International Domain Names  (domaines utilisant des caractères spéciaux liés aux considérations locales). La faille s’entrouvre très facilement : elle s'exploite avec des liens longs contenant un ou plusieurs traits d'union (« - »). Un clic sur ce lien pourra donc faire crasher le navigateur voire permettre l'exécution de code à distance.

L’épisode qui a encerclé cette découverte mérite un carton rouge : bien qu’ayant contacté l’équipe de la Mozilla Foundation selon les règles de l’art en la matière, le chercheur en sécurité décida néanmoins de jeter sa découverte en pâture sur son site. Une dispute avec l’équipe l’aurait ainsi poussé à tout dévoiler, en ne laissant en pratique que deux ou trois jours à l’équipe pour dénicher une solution. Elle a fort heureusement découvert une petite méthode pour fixer temporairement le problème : elle consiste à modifier les paramètres du navigateur à la main ou automatiquement. Cela consistera en pratique à désactiver la fonctionnalité IDN en suivant la procédure indiquée sur cette page de Mozillazine ou celle du site de sécurité Secuser.

 Une correction plus radicale interviendra sous peu. On notera au passage que ce n'est pas la première fois que l'IDN engendre des problèmes dans les navigateurs de la Fondation. En février dernier, déjà, une faille dans ce système autorisait le spoofing d'URL.