Faille critique pour Firefox 1.5

Bonsoir,

Un code prouvant l'exploitation d'une faille critique sous Firefox circule en ce moment sur Internet. Baissez la tête!

La firme de sécurité informatique Packetstorm Security a posté ce mercredi 7 décembre une preuve d'exploitation d'une faille affectant le navigateur Internet Mozilla Firefox dans sa toute récente déclinaison 1.5, provoquant un certain émoi chez les utilisateurs et les développeurs du petit prodige de l'open-source.

La vulnérabilité touche la base de données de l'historique de Firefox (history.dat), qui gère mal, voire pas, les URLs renfermant de multiples pages: une de ces pages, si elle est piégée, peut causer une saturation de mémoire tampon (buffer overflow) et entraîner la fermeture inopinée du navigateur.

La seule parade connue pour l'instant consiste à purger ce fichier d'historique avant de démarrer Firefox, ou, dans une moindre mesure, à choisir de vider le cache du logiciel à chaque fermeture, ce qui, dans certains cas, peut ralentir l'affichage des pages Web.

John Bambeneck, du SANS Internet Storm Center, déclare que "cette vulnérabilité a été testé, et qu'elle fonctionne. De plus, aucun patch n'est pour l'instant disponible pour la contrer. On peut supposer que si une preuve d'exploitation a pu voir le jour, un code plus vicieux pourrait bientôt s'abattre sur les ordinateurs des internautes qui surfent sur Firefox, et on peut craindre des installations de logiciels malicieux."

Pour rappel, Mozilla Firefox 1.5 est sorti en version finale il y a seulement quelques jours, et la Fondation Mozilla revendiquait il y a quelques semaines avoir crevé le plafond des cent millions de téléchargement pour son navigateur Internet vedette.

De là à dire qu'il existe donc cent millions de PC en dangers… :ouah:

Source: Génération NT

Une petite info supplémentaire si tu le permet Abdel :
Pour effacer l'historique :

Même s'il n'existe pas encore de correctif officiel pour colmater cette faille, il est possible de modifier les paramètres de Firefox 1.5 pour contourner les problèmes éventuels. Pour cela, il suffirait de saisir «zéro» dans le nombre de jours pendant lequel l'historique est conservé (Outils > Options > Vie privée > Historique).
Cela pourra régler ce problème avant la venue prochaine (n'en doutons pas) d'un correctif.

Je t'en prie Alain

Infos pour planter son Firefox

Alors que le navigateur frappé d’un panda roux et connu pour être plus sûr que son homologue de Redmond, une faille vient d’être découvert touchant ainsi tout spécialement le logiciel de la fondation Mozilla.

Certes, ce n’est pas une faille de sécurité et personne ne devrait prendre le contrôle de votre machine pour l’instant, même si certains le prédisent, mais ce genre d’incident est assez rare sur Firefox pour qu’on en parle. Le code, que vous trouverez en bas de cette actualité a pour but de créer un sujet pour page Web extrêmement long qui apparaîtra en parti sur l’onglet de la page visionné. Sur le moment, rien ne se passe, mais une fois Firefox fermé, il sera impossible de le lancer à nouveau sans qu’il crash. Bref, le panda n'apprécie vraiment pas les titres trop long.

Sachez que pour résoudre le problème, il vous suffit d’effacer le fichier « history.dat » présent dans le répertoire Documents and Settings\(user)\Application Data\Mozilla\Firefox\(votre profile).

* Exemple de code pouvant bloquer Firefox :

Citation :

script type="text/javascript"

function ex() {
var buffer = "";
for (var i = 0; i < 5000; i++) {
buffer += "A";
}
var buffer2 = buffer;
for (i = 0; i < 500; i++) {
buffer2 += buffer;
}
document.title = buffer2;
}

/script

Pour information, sachez que cette faille touche aussi les linuxiens.
Site pour bloquer votre Firefox (il faut cliquer sur "Proof of Concept")

Mozilla a annoncé sortir un patch l'année prochaine pour corriger ce bug.

Source: Presence-PC