Une faille de niveau 4 dans Firefox 3.5

Actualitéweb

Publié par le , mis à jour le (11423 lectures)

javascript web sécurité navigateur Firefox Mozilla browser

Une fois n'est pas coutume, Firefox est pris en défaut avec une faille considérée comme dangereuse. (d'un niveau 4 sur une échelle de 5)

Cette faille est liée au langage Javascript et plus particulièrement à la fonction "Just in time" (JIT), elle était connue de la part de Mozilla depuis la semaine dernière, mais l'exploitation de cette erreur par un pirate a fait s'activer l'équipe de développement à publier une alerte pour ses utilisateurs.

En clair, rien ne sert de downgrader votre navigateur, il suffit seulement d'attendre le patch de sécurité et en attendant de désactiver l'élément "JIT" (cherchez la ligne contenant "javascript.options.jit.content" et mettez son état sur "false" via la commande "about:config" dans la barre d'adresse du logiciel.

Source : http://www.generation-nt.com/firefox-faille-javascript-tracemonkey-actualite-836341.html

Commentaires

Merci beaucoup pour l'info ! Une question : comment peut-on savoir quand est-ce que le patch de sécurité aura été mis à jour ? Firefox va-t-il nous avertir ?

Une question peut-être simplette pour vous mais j'ai des connaissances limitées sur certains outils du Web...

Merci beaucoup pour votre réponse.

@mama5 : Logiquement dans le courant de la deuxième partie du mois de juillet (Mozilla met à jour assez rapidement en général, ce n'est pas comme Microsoft qui vient de rendre publiques des failles existantes dans Internet explorer depuis 2001 ^^)

Mais comme je le dis bien dans cette actu, en attendant le patch de sécurité, tu peux désactiver la fonctionnalité qui pose problème en tapant "about:config" (sans les guillemets donc) une fois la page affichée, tu cherche après "javascript.options.jit.content" dans la liste, une fois que cette ligne est trouvée, tu peux mettre son état sur "false" en double-cliquant dessus.

;-)

Euh question bête, mais que permet cette faille de sécurité ? Qu'est-ce qu'elle permet exactement ?

Si c'est permettre de voir mon historique web ... pas de problème, par contre, si ça peut permettre d'accèder à mes mots de passe etc ... aie

Merci :)

@Super_baloo8 : Comme dit dans l'article cité comme source : "elle affecte l'une de ses fonctionnalités phares avec la technologie JIT ( Just-in-time ) de son nouveau moteur JavaScript. TraceMonkey est capable de lire le codé exécuté et de le compiler à la volée pour une utilisation ultérieure."

Voilà, vu que je suis loin d'être un expert en JS (j'ai déjà du mal à comprendre la base^^), à part reprendre ce que je viens de dire plus haut, je ne saurais en dire plus pour le moment, j'en appele donc aux gens qui sont des cadors en JS et en sécurité des navigateurs pour apporter une réponse plus précise.

Firefox 3.5 : la faille est corrigée !

"[...] les développeurs ont décidé d’avancer la sortie de Firefox 3.5.1, initialement prévue pour la fin de ce mois. [...] Cette version corrige bien évidemment la faille. Elle permet également d’éliminer un peu plus de 20 bogues [...]"

Pour effectuer la mise à jour :
Onglet "?" > "Rechercher des mises à jours" ou "Appliquer les mises à jours"

Pour Réactiver JIT :
Barre d'adresse > about:config > Saisir jit dans le fitre et double-cliquer sur la ligne "javascript.options.jit.content" pour passer sa valeur à "true". Puis on redémarre FF.

A+

Sources : http://www.silicon.fr/fr/news/2009/07/17/fire...

Commentaires clos