Petite faille de Firefox cherche exploitation rapide
Remue-ménage au dessus de la faille de l'IDN
La faille découverte récemment dans Firefox, y compris la Beta 1 de la version 1.5, provoque un remue-ménage dans le monde de la sécurité. Un certain nombre de personnes ont déclaré avoir trouvé des moyens d’exploiter cette faille, que le système d’exploitation soit Windows ou Linux. Toutes les méthodes aboutissent au même résultat : la possibilité pour une personne malintentionnée d’exécuter un code arbitraire sur la machine. Le problème affecte également Netscape, du moins dans ses dernières versions.
A chaque révélation d’une faille au sein d’un logiciel un tant soit peu utilisé, une course contre la montre s’engage entre les développeurs du logiciel en question et tous ceux qui pourraient profiter d’une telle aubaine. Les différents protagonistes du côté obscur de la force pourraient ainsi profiter de l’engouement autour du jeune navigateur de la fondation Mozilla.
Jusqu’à présent, seule une exploitation était connue, celle de Tom Ferris, le chercheur en sécurité qui avait découvert la faille. Techniquement, les détails de son exploitation ne sont pas censés être connus par d’autres personnes que celles de la fondation. Mais d’autres exploitations se sont ajoutées à la liste, notamment celle de Berend-Jan Wever, étudiant aux Pays-Bas.
Selon le jeune homme, seules trois heures et demie lui ont été nécessaires pour exploiter la faille de l’IDN (International Domain Name) et il craint que d’autres puissent facilement le faire tant la chose paraissait aisée. Classée critique par nombres de sites de sécurité, dont la FrSIRT (French Security Incident Response Team), la faille attire déjà de nombreuses personnes.
Tom Ferris a déjà reçu dans sa boîte email des courriers lui demandant de prouver ses dires et de donner sa méthodologie d’exploitation de la faille : « ceci m’indique que les auteurs de troyens sont déjà en train de chercher quelque chose » a déclaré l’intéressé. De type dépassement de mémoire tampon, la faille permettrait facilement de stocker sur un site, un programme malicieux. La seule option de la fondation Mozilla jusqu’à la sortie d’un patch a été de fournir les instructions pour désactiver l’IDN.
Finalement, l’avis de nombreux experts en sécurité selon lequel il n’existe aucun navigateur en sécurité semble se vérifier bien souvent.
- 14 / 09 / 2005 : Firefox, Safari et Netscape à l'assaut d'Internet Explorer
- 12 / 09 / 2005 : Nouvelle faille liée à l'IDN dans Firefox et Mozilla
- 09 / 09 / 2005 : Sortie de la Beta 1 de Firefox 1.5, alias Deer Park
- 08 / 09 / 2005 : Google embauche un responsable de Camino
- 05 / 09 / 2005 : Framakey : une clé vers les logiciels gratuits
- 31 / 08 / 2005 : Mozilla Firefox 1.5b1 fait sa rentrée le 8 septembre
- 29 / 08 / 2005 : Mozilla teste les mises à jour de Firefox et Thunderbird
- 25 / 08 / 2005 : L'anti phishing de Microsoft étendu à Windows XP SP2
- 23 / 08 / 2005 : Comparatif de quatre suites de sécurité chez PC Mag
