Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Une vulnérabilité critique signalée dans Firefox 3.6

Seulement quelques jours après la diffusion de correctifs pour les versions 3.5 et 3.0 de Firefox, un chercheur en sécurité de l’éditeur russe Intevydis a déclaré avoir découvert une faille critique de Firefox 3.6 et conçu un exploit.

La vulnérabilité O-jour est rapportée par Evgeny Legerov, fondateur d’Intevydis. Cette société édite une extension, Vulndisco, pour l’application Immunity Canvas (une plate-forme payante d’exploitation de vulnérabilités pour les tests de pénétration).

Mozilla rappelle son attachement à la divulgation responsable

Evgeny Legerov déclare avoir mis au point un code d’attaque exploitant la vulnérabilité de Firefox 3.6 (d’autres versions pourraient être affectées) sous Windows XP et Vista. L’accès à cet exploit suppose de disposer de licences pour Vulndisco et Canvas (ce qui réduit en principe les risques de propagation du code).

Mozilla a pris connaissance de cette faille de sécurité le 18 février et déclaré travailler à son examen. Mozilla a rappelé par ailleurs qu’il recevait toujours favorablement les contributions des chercheurs en sécurité, tout en encourageant une démarche de divulgation responsable (soit une divulgation publique après information et correction préalable par l’éditeur concerné).

Secunia a de son côté publié un bulletin d’alerte sur son site Internet, sans communiquer de détails sur la faille logicielle autorisant une exécution à distance de code. Secunia classe la vulnérabilité comme hautement critique (soit de dangerosité 4, sur une échelle de 5).

par Christophe Auffray, ZDNet France. Publié le 22 février 2010

Source :ZDNet