Faille gênante dans Netscape et Mozilla

Une faille basée sur javaScript a été recensée par Secunia dans les navigateurs Netscape 6.x et 7.x, Mozilla 1.7.x et firefox 1.x entre autres, permettant de lire une partie du contenu de la mémoire vive de l'ordinateur. Vous pouvez tester la faille en effectuant un test ici.

Pour ma part, les informations affichées dans le TextArea contenaient entre autres mon adresse email, une partie des urls de mon historique... Bref : j'aime pas trop.

J'éspère donc que les éditeurs concernés sauront réagir rapidement, d'autant que la mise en oeuvre de l'exploit est vraiment facile

Edit 23h52 :

S'il y en a qui doivent être en train de faire des heures sup' (de plaisir, bien sûr), ce sont les devs de chez Ubuntu, de Debian et de Mozilla : en effet, je viens d'effectuer un sudo apt-get dist-upgrade afin de mettre à jour mon Hoary et firefox faisait visiblement parti des paquets updatés; résultat : le test de Secunia ne fonctionne plus ! Si ça c'est pas de la réactivité Certains feraient mieux de s'en inspirer plutôt que d'essayer de pomper les logos des autres

Commentaires

1. Le mardi 5 avril 2005, 16:47 par mike

Tiens, quand j'ai cliqué sur le lien de secunia pour tester la faille ca m'a fait planter mon Firefox. La fois d'après ca a marché. En tout cas espérons qu'ils vont vite nous corriger ca...

2. Le mardi 5 avril 2005, 17:42 par Thalion

Bonjour,

Tout ceci est sans doute lié avec le fait que la Mozilla Foundation est dans une période de traque des bugs et failles.

Je vous renvois sur cet article : Mozilla paie les découvreurs de faille sur ses produits

En tout cas, effectivement, il n'est qu'à souhaiter que cette faille soit vite corriger, mais Mozilla travaille sur un bug lié à Windows par rapport au gestionnaire des programmes installés (les nouvelles versions de Firefox installées y apparaissent comme une installation séparée et si vous la supprimez, vous supprimerez en fait la version la plus récente).

3. Le mardi 5 avril 2005, 17:44 par Thalion

Désolé pour l'URL qui a buggué, j'ai mal interprété cette ligne "les adresses internet seront converties automatiquement"...

www.atelier.fr/article.ph...

4. Le mardi 5 avril 2005, 18:07 par NiKo

C'est pas grave, c'est réparé

5. Le mardi 5 avril 2005, 18:45 par ko

Tu sais qu'elle est énorme quand même cette faille... bon j'ai un peu testé dans tous les sens et maté le code de la page... ça fait peur tellement c'est simple... c'est vraie qu'elle fait planter firefox en plus de temps en temps... Il faut qu'ils la corrige très rapidement celle là...

6. Le mardi 5 avril 2005, 19:03 par NiKo

Ouaip, en plus je trouve ça LIMITE moyen de la part de Secunia de mettre en ligne ce test avec la fonction js en clair dans le source

A l'heure qu'il est il doit déjà y avoir moult mise en oeuvre de la faille, grâce à eux

M'enfin bon, c'est la loi de la jungle, l'escalade habituelle faille/patch/faille/patch... le gendarme et le voleur, quoi...

7. Le mardi 5 avril 2005, 19:05 par womby

Tiens, c'est amusant, ca ne marche pas chez moi Oo. Enfin j'affiche la page et lorsque je clique sur le lien j'ai une lsite de "X" affichée mais strictement rien d'autre... Ma foi, je devrais être content en fait

8. Le mardi 5 avril 2005, 23:47 par Méléis

Womby : j'ai la même chose que toi.

Quel système d'exploitation as-tu ? Quelle version de Firefox ?

Moi je suis sous Ubuntu avec Firefox 1.0.2.

9. Le mardi 5 avril 2005, 23:55 par womby

idem pour ma part.

Ubuntu Hoary et Firefox 1.0.2 . c'est tout de meme assez ettonnant vu que la faille semble etre generalisée Oo

10. Le mercredi 6 avril 2005, 09:06 par Hyun

Pareil chez moi Ubuntu/Windows XP SP2, le test de sécunia ne marche pas ...
Je vais lancer un p'tit apt-get, comme dit dans l'édit pour corriger quand meme tout ça.

PS: je viens de voire que la version RC de Firefox 1.0.3 est disponible.