Firefox : faille supposée dans la gestion du JavaScript (MAJ)

Être méchant pour le bien commun 156
MAJ : L'annonce de cette faille était en fait un canular

Si l’on en croit les affirmations de deux hommes durant la conférence ToorCon, Firefox serait victime d’une faille intervenant lorsque le navigateur gère du code JavaScript. Pour Mischa Spiegelmock et Andrew Wbeelsoi, l’intégration du JavaScript au sein de Firefox est un « désordre total » qu’il est tout simplement impossible de corriger.

L’annonce est plus que tranchée et la faille n’est pour le moment pas officiellement confirmée. Durant la conférence ToorCon, qui réunit des hackers, Spiegelmock et Wbeelsoi ont fait la démonstration de l’exploitation de la faille touchant au JavaScript. En fait, ils ont en théorie présenté suffisamment de détails pour que l’exploitation puisse être refaite par tous les participants de la conférence. Un point que regrette vivement Window Snyder.

La directrice de la sécurité de Mozilla, récemment nommée, estime en effet qu’il est dommage que les deux hommes aient donné autant de détails : « Ils avaient apparemment assez d’informations dans leur présentation pour qu’un attaqueur la reproduise. Je pense qu’il est malheureux que les utilisateurs soient ainsi exposés au risque, mais il semble que cela ait été leur but. »
crane virus malware pirate
Snyder précise toutefois que même sans passer par les circuits traditionnels de signalement des bugs, les auteurs de la présentation ont fourni assez de détails pour que les développeurs de Firefox se penchent sur le sujet. Selon Snyder, il pourrait s’agir en fait d’une variation d’une vieille attaque,. Elle précise en outre que des recherches vont être faites sur le sujet en émettant des réserves : « Si la faille se trouve dans la machine virtuelle JavaScript, ce ne sera pas une réparation rapide. »

Pendant la présentation, un employé travaillant sur la sécurité chez Mozilla, Jesse Ruderman, a pris la parole pour s’adresser à Spiegelmock et Wbeelsoi. Après que ces derniers ont annoncé connaître l’existence d’une trentaine de failles non dévoilées, Ruderman leur a demandé en effet de bien vouloir utiliser la voie traditionnelle pour déclarer les bugs, en empochant les 500 dollars de récompense pour chaque véritable bug découvert. Les deux hommes ont alors ri en précisant que leur travail concernait le bien-être d’Internet.
Par Vincent Hermann Publiée le 02/10/2006 à 11:36 - Source : CNet News
Publicité