Faille critique pour Firefox 3.5

[Sév]

Le nouveau moteur JavaScript TraceMonkey intégré à Firefox 3.5 aura été la source de bien des soucis. Des problèmes liés à sa mise au point ont retardé la sortie de ce navigateur web, qui s’est fait ainsi griller la politesse par Google Chrome 2.0 et Apple Safari 4.

Pire, lors de la sortie de Firefox 3.5, nous avons pu constater que TraceMonkey n’arrivait pas à la hauteur de ces deux concurrents et qu’il provoquait même des microcoupures très désagréables dans le fonctionnement du logiciel.

En épilogue à ce triste épisode, une faille critique a été découverte dans TraceMonkey. Celle-ci permet d’exécuter du code sur la machine de l’utilisateur hôte, et donc d’en prendre le contrôle à distance. Un des bogues relevés dès le lancement de Firefox 3.5 est à la source de cette vulnérabilité, qui a été confirmée officiellement hier sur un des blogues de la fondation Mozilla.

Quand l’irresponsabilité entre en jeux

En général, ce genre de faille est classé comme étant "critique". Hélas, Simon Berry-Byrne fournit un exploit permettant de la mettre en œuvre. Il ne fonctionne aujourd’hui que sous Windows, mais son adaptation aux autres systèmes d’exploitation semble plutôt aisée.

Les règles en vigueur dans le monde de la sécurité suggèrent que les exploits ne soient jamais rendus publics, tant que les développeurs du logiciel touché n’ont pas eu le temps de proposer un correctif.

> Lire la suite

[TopXm]

Hello,

Mozilla n'a pas trainé sur le coup et sort ce jour un correctif relatif à la vulnérabilité, pour mémoire :

http://blog.mozilla.com/security/2009/0 ... irefox-35/
http://www.mozilla.org/security/announc ... 09-41.html


Vous devez donc, dès maintenant, installer la version 3.5.1, pour cela 2 possibilités :

1. Via le menu de FireFox, cliquez sur le point d'interrogation ? / Rechercher des mises à jour
   
   
2. Soit en le téléchargeant directement sur le site de Mozilla

[Piero]

Hello

Google Chrome a lui aussi mis à jour son moteur javascript qui comportait une importante faille

Chrome : Google corrige aussi son moteur JavaScript

Le navigateur Google Chrome passe à la version 2.0.172.37 avec notamment au programme la correction d'une vulnérabilité JavaScript.

Google_Chrome_LogoSi Firefox 3.5 vient de faire parler de lui suite à la publication de sa première version de maintenance, son concurrent Google Chrome lui emboîte le pas. Pour le navigateur de Google, il s'agit aussi de corriger principalement une vulnérabilité de sécurité JavaScript avec une version amendée de son moteur V8.

En l'occurrence, cette vulnérabilité pour laquelle Secunia a publié un avis de sécurité en la qualifiant de " hautement critique ", est due à une erreur lors du traitement d'expressions régulières dans JavaScript.

Lire la suite