« 
 »
10 01 2021

Firefox 3.6.3 corrige déjà la faille du Pwn2Own

Publié par Joris dans Liens divers, News, Open Source, Trucs et astuces

La Fondation Mozilla livre une version de maintenance de Firefox qui passe au numéro 3.6.3. La correction d’une unique vulnérabilité de sécurité révélée la semaine dernière à l’occasion du concours de hacking Pwn2Own.

Firefox_Nouveau_LogoC’est une mise à jour surprise qu’a mis en ligne jeudi la Fondation Mozilla. Pas de poisson d’avril si ce n’est peut-être un pied de nez à tous les éditeurs concurrents, histoire de démontrer que plus que le décompte du nombre de vulnérabilités de sécurité, c’est bien la vitesse à les corriger qui prime.

Il n’y avait pourtant pas véritablement urgence car l’unique faille que comble Firefox 3.6.3 a été dévoilée à l’occasion du récent concours de hacking Pwn2Own. De fait, pas de divulgation publique et seul Mozilla a eu connaissance des tenants et des aboutissants de ce trou de sécurité. Mais enfin, cela fait bonne figure.

On apprend donc que la faille critique aujourd’hui corrigée et qui a été exploitée sous Windows 7 par le dénommé Nils de MWR InfoSecurity, est de type corruption de mémoire avec pour conséquence l’exécution de code arbitraire.

 » En déplaçant des nœuds du DOM entre documents, Nils a trouvé un cas où le nœud déplacé conserve de manière incorrecte son ancien champ d’application. Si le garbage collector ( ndlr : supprime toutes les variables qui font référence à un nœud ) est déclenché à un certain moment, alors Firefox pourrait plus tard utiliser l’objet libéré « 

, explique Mozilla.

L’exploit utilisé par Nils affecte uniquement Firefox 3.6 et pas les versions antérieures. Néanmoins, Firefox 3.5 ( le support de Firefox 3.0 a pris fin ) va prochainement bénéficier d’une version de maintenance, dans la mesure où une méthode alternative pour y déclencher le bug pourrait être élaborée.

Dans le cadre du concours Pwn2Own, des vulnérabilités affectant Internet Explorer 8 et Safari 4 ont également été mises au jour. Ces dernières n’ont pas été corrigées que ce soit par la mise à jour cumulative d’IE ou via la mise à jour 10.6.3 de Mac OS X que Microsoft et Apple ont publié cette semaine. Rappelons que Google Chrome 4 n’a pas eu à subir des assauts lors du concours.

À défaut d’avoir recours au mécanisme interne de mise à jour de Firefox, la version 3.6.3 peut être téléchargée depuis cette page pour la langue et le système d’exploitation de son choix. Récemment, Mozilla a indiqué que Firefox comptait plus de 350 millions d’utilisateurs à travers le monde pour une part de marché de l’ordre de 30 %.

Cette version de maintenance est à télécharger depuis cette page pour la langue et le système d’exploitation de son choix. La mise à jour peut être sollicitée via le menu Aide.

:Source:

This entry was posted on dimanche, janvier 10th, 2021 at 19 h 52 min and is filed under Liens divers, News, Open Source, Trucs et astuces. Vous pouvez suivre les réponses à ce bulletin avec le fil RSS 2.0. Les commentaires et les pings ne sont plus admis.

Les commentaires sont désactivés.