Faille gênante dans Netscape et Mozilla
Par NiKo le mardi 5 avril 2005, 16:24 - Libritudes
- Lien permanent -
10 commentaires -
Tags :
Une faille basée sur javaScript a été recensée par Secunia dans les navigateurs Netscape 6.x et 7.x, Mozilla 1.7.x et firefox 1.x entre autres, permettant de lire une partie du contenu de la mémoire vive de l'ordinateur. Vous pouvez tester la faille en effectuant un test ici.
Pour ma part, les informations affichées dans le TextArea contenaient entre autres mon adresse email, une partie des urls de mon historique... Bref : j'aime pas trop.
J'éspère donc que les éditeurs concernés sauront réagir rapidement, d'autant que la mise en oeuvre de l'exploit est vraiment facile 
Edit 23h52 :
S'il y en a qui doivent être en train de faire des heures sup' (de plaisir, bien sûr), ce sont les devs de chez Ubuntu, de Debian et de Mozilla : en effet, je viens d'effectuer un sudo apt-get dist-upgrade afin de mettre à jour mon Hoary et firefox faisait visiblement parti des paquets updatés; résultat : le test de Secunia ne fonctionne plus ! Si ça c'est pas de la réactivité 
Certains feraient mieux de s'en inspirer plutôt que d'essayer de pomper les logos des autres 
10 commentaires (Ajouter un commentaire)
Pareil chez moi Ubuntu/Windows XP SP2, le test de sécunia ne marche pas ...
Je vais lancer un p'tit apt-get, comme dit dans l'édit pour corriger quand meme tout ça.
PS: je viens de voire que la version RC de Firefox 1.0.3 est disponible.
idem pour ma part.
Ubuntu Hoary et Firefox 1.0.2 . c'est tout de meme assez ettonnant vu que la faille semble etre generalisée Oo
Womby : j'ai la même chose que toi.
Quel système d'exploitation as-tu ? Quelle version de Firefox ?
Moi je suis sous Ubuntu avec Firefox 1.0.2.
Tiens, c'est amusant, ca ne marche pas chez moi Oo. Enfin j'affiche la page et lorsque je clique sur le lien j'ai une lsite de "X" affichée mais strictement rien d'autre... Ma foi, je devrais être content en fait
Ouaip, en plus je trouve ça LIMITE moyen de la part de Secunia de mettre en ligne ce test avec la fonction js en clair dans le source
A l'heure qu'il est il doit déjà y avoir moult mise en oeuvre de la faille, grâce à eux
M'enfin bon, c'est la loi de la jungle, l'escalade habituelle faille/patch/faille/patch... le gendarme et le voleur, quoi...
Tu sais qu'elle est énorme quand même cette faille... bon j'ai un peu testé dans tous les sens et maté le code de la page... ça fait peur tellement c'est simple... c'est vraie qu'elle fait planter firefox en plus de temps en temps... Il faut qu'ils la corrige très rapidement celle là...
C'est pas grave, c'est réparé
Désolé pour l'URL qui a buggué, j'ai mal interprété cette ligne "les adresses internet seront converties automatiquement"...
www.atelier.fr/article.ph...
Bonjour,
Tout ceci est sans doute lié avec le fait que la Mozilla Foundation est dans une période de traque des bugs et failles.
Je vous renvois sur cet article : Mozilla paie les découvreurs de faille sur ses produits
En tout cas, effectivement, il n'est qu'à souhaiter que cette faille soit vite corriger, mais Mozilla travaille sur un bug lié à Windows par rapport au gestionnaire des programmes installés (les nouvelles versions de Firefox installées y apparaissent comme une installation séparée et si vous la supprimez, vous supprimerez en fait la version la plus récente).
Tiens, quand j'ai cliqué sur le lien de secunia pour tester la faille ca m'a fait planter mon Firefox. La fois d'après ca a marché. En tout cas espérons qu'ils vont vite nous corriger ca...