Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Mozilla corrige une importante faille 0-day dans Firefox

L’éditeur vient de publier une mise à jour pour les deux éditions du navigateur : Firefox 72 et ESR 68.4. Elle colmate une importante vulnérabilité, déjà exploitée donc dangereuse.

La faille réside dans le moteur JavaScript JIT IonMonkey. Exploitée, elle permet la prise de contrôle de la machine, donc l’exécution de commandes arbitraires ou encore le lancement de malwares. Firefox ESR 68.4 étant affecté, il est probable que la brèche existe depuis plusieurs mois au moins.

Toutes les plateformes sont concernées. Il est recommandé de se rendre dans l’À propos du navigateur pour vérifier que la mise à jour a bien été téléchargée, puis de le redémarrer au plus vite. Sous Linux, il y a de fortes chances que la nouvelle soit distribuée par la boutique d’applications correspondante.

12 commentaires
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 10/01/20 à 16:04:27

"déjà exploitée donc dangereuse"
 Oui une faille connue dont on ignore si elle est exploitée ou non est non dangereuse, c'est bien connu.
:mdr2:
Le paragraphe suivant m'a bien mieux convaincu de sa dangerosité.

Avatar de Chocolat-du-mendiant Abonné
Avatar de Chocolat-du-mendiantChocolat-du-mendiant- 11/01/20 à 04:47:36

Heu... tu tire des conclusion qui ne sont pas dans la news.
 ce n'est pas parce que si "A" alors "B", que si "pas A" alors "pas B", ou si "A est inconnue" alors "pas B".
 La 1ère proposition ne permet absolument pas de conclure aux deux autres.

 Genre, si un couteau est dans les mains d'un fou furieux, donc dangereux.
Ce n'est pas parce que le couteau est dans les mains d'une personne qui n'est pas considérée comme un fou furieux, ou que l'on ne sait pas si c'est un fou furieux que le couteau n'est pas potentiellement dangereux.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 11/01/20 à 05:34:08

Comparer cette faille à un e arme blanche me parait aussi farfelu que les comparaisons bagnolesques qu'on a régulièrement ici, mais ce n'est pas ce que je voulais soulever.
 

Chocolat-du-mendiant a écrit :

Heu... tu tire des conclusion qui ne sont pas dans la news...

oui
 

Chocolat-du-mendiant a écrit :

...ce n'est pas parce que si "A" alors "B", que si "pas A" alors "pas B", ou si "A est inconnue" alors "pas B".
 La 1ère proposition ne permet absolument pas de conclure aux deux autres..

oui encore
 

Chocolat-du-mendiant a écrit :

...Genre, si un couteau est dans les mains d'un fou furieux, donc dangereux...

oui aussi
 
 

Chocolat-du-mendiant a écrit :

...Ce n'est pas parce que le couteau est dans les mains d'une personne qui n'est pas considérée comme un fou furieux, ou que l'on ne sait pas si c'est un fou furieux que le couteau n'est pas potentiellement dangereux.

Toujours oui mais j'ai du terriblement mal m'exprimer, car c'est précisément ce que je voulais indiquer.
Attendre que la faille soit exploitée pour dire qu'elle est dangereuse est faux, car comme tu l'as démontré, même non exploitée elle est toujours potentiellement dangereuse.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 11/01/20 à 16:16:42

Une faille exploitée est dangereuse.
Une faille à priori non exploitée est potentiellement dangereuse.

Donc la news est bien écrite.

Édité par Mihashi le 11/01/2020 à 16:16
Avatar de Chocolat-du-mendiant Abonné
Avatar de Chocolat-du-mendiantChocolat-du-mendiant- 11/01/20 à 16:48:25

Qui a parlé d'attendre ?
Désolé, c'est peut-être moi qui me suis mal exprimé. J'avais compris que l'on sait tous les deux qu'une faille est dangereuse à partir du moment où elle existe. Ce n'est pas parce que l'on a aucune preuve de son exploitation qu'elle ne l'a pas été. (on trouvera toujours quelques exceptions à cette règle, mais en général c'est ça)

Mais tu semble dire que l'auteur de la news ne l'a pas compris. L'auteur, ou Mozilla, du reste. Et c'est sur ce point que je ne suis pas d'accord avec toi :)
Pour moi, dans la news, la formule : "Elle colmate une importante vulnérabilité, déjà exploitée donc dangereuse." n'insinue pas que l'auteur de la news pense qu'elle n'aurai pas été dangereuse si elle n'était pas déjà exploitée.

Peut-être qu'il pourrait y avoir une meilleur formulation ? Mais elle n'est pas fausse.

Après on peut discuter sur le degré ou sur l'urgence de cette dangerosité en fonction du fait que son exploitation est connue. C'est peut-être ce que veux souligner la news. La différence entre une faille 0-day avérée et une faille dont on a pas encore connaissance d'une exploitation. Mais pour moi ça n'insinue pas que sinon, tout va bien.
 

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 11/01/20 à 17:24:21

Je ne vois toujours pas pourquoi c'est le fait qu'elle soit déjà exploitée qui la rend dangereuse (pour rappel : "déjà exploitée donc dangereuse"). Ça n'a simplement aucun sens.

Avatar de Chocolat-du-mendiant Abonné
Avatar de Chocolat-du-mendiantChocolat-du-mendiant- 11/01/20 à 22:02:25

Heu... je te rappel qu'on te dit depuis, le début, qu'il n'y a que toi qui a compris ça.
 Et effectivement ça n'a aucun sens.

Par contre le fait que ce soit une 0-day (exploitation active détectée de la faille avant correction) rend plus urgente cette dangerosité.
 
 Je n'ai pas d'expertise particulière dans le domaine.
Mais il me semble que quand une exploitation active d'une faille est détectée, qui plus est, alors qu'elle n'est pas encore corrigée, c'est beaucoup plus urgent et dangereux que quand cette même faille n'a apparemment pas encore été exploitée.

Cela dépend de pleins de choses, et en particulier de la nature de la faille. C'est sans doute rare, mais certaines doivent pouvoir être exploitée très activement a l’insu de tout le monde, alors que d'autres si elles ont été exploitée ont forcément laissé des traces (crash spécifique, activité réseau atypique, etc...).

Mais quand l'exploitation devient publique, elle peut se répandre comme une traînée de poudre. Ce n'est pas tant la dangerosité potentielle de la faille d'un seul Firefox qui change. Mais le risque qu'un individu lambda (qui n'est pas une cible militaire, politique, économique, etc... particulière) se fasse toucher par une attaque qui utiliserai la faille en question.
Le fait qu'une méthode d'exploitation d'une faille soit connue, veut dire qu'elle peut être étudiée, copiée, améliorée et automatisée, et donc atteindre beaucoup plus de gens et beaucoup plus vite.
Là encore ça dépend de la méthode. Certaines même connues, peuvent poser tellement de problèmes pour leur mise en pratique que ce n'est pas très dangereux.

Si par contre tu fait partis des cibles militaires, politiques économiques, etc... intéressantes pour un pirate et/ou avec des ennemis compétent et possédant les moyens de la mettre en pratique. A chaque faille corrigée, même celles qui n'ont pas eu d'exploitation active connue avant leur correction. Tu as intérêt a comprendre la faille, ses implications et est-ce que tu n'aurai pas les traces d'une exploitation de cette faille dans ton système. On sait jamais.

Mais pour un lecteur lambda (ce n'est pas forcément ton cas) de Next INpact tant qu'il n'y a pas d'exploitation connue d'une faille, comme le dit Mihashi d'une façon claire et concise (je suis admiratif :) ) la dangerosité est potentielle.

Je ne sais toujours pas si mon point de vue est plus clair ?
Si tu as un trou dans ton toit (la faille), c'est potentiellement dangereux. Si on annonce un orage de grêle (l'exploitation active de la faille) c'est donc dangereux.
Ça aurai pu être tourné différemment dans la new, par exemple en parlant d'urgence, mais ce n'est pas faux. Et ça n'implique pas que la faille avant la connaissance de cet exploitation n'était pas dangereuse.

(j'espère que tu n'est pas un troll ... )

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 12/01/20 à 04:59:19

Merci en tout cas pour ta patience, je vais arrêter là car je me donne maintenant aussi à moi même l'impression de troller.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 12/01/20 à 09:50:24

Je pense que tu confonds dangerosité (risque avéré ou pas) et criticité (conséquences graves ou pas).

Avatar de Ricard INpactien
Avatar de RicardRicard- 12/01/20 à 11:24:44

Winderly a écrit :

Toujours oui mais j'ai du terriblement mal m'exprimer.

Non non. J'ai compris exactement comme toi, et je suis d'accord avec toi.
Je trouve une arme à feu sous une voiture le soir en rentrant chez moi. Je n'ai pas besoin de m'en servir pour savoir qu'elle EST dangereuse, et pas seulement "potentiellement" dangereuse.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2