vendredi 8 juillet 2005

Diffusion du code de l’exploit d’une ancienne faille de sécurité de Mozilla

CNET News.com signale que le code de l’exploit d’un faille de sécurité des anciennes versions de Mozilla Firefox a été diffusé. L’exploit se fonde sur un dépassement de mémoire tampon dans le traitement des images GIF qui est présent dans des versions anciennes de Firefox, Mozilla Thunderbird et de la suite Mozilla. Elle a été corrigée dans Firefox 1.0.2, Thunderbird 1.0.2 et Mozilla 1.7.6, ce qui signifie que les utilisateurs qui ont mis à niveau ne sont pas en danger.

Le French Security Incident Response Team (FrSIRT) a obtenu une copie du code de l’exploit de la vulnérabilité de dépassement GIF et l’a publiée sur son site Web. Les notes accompagnant le code déclarent qu’il lance uniquement la calculatrice standard de Windows, le donnant davantage comme une démonstration du bien-fondé de la conception que comme une attaque réelle. Cependant, le code pourrait être modifié par une personne hostile afin de le rendre beaucoup plus dangereux.

Selon l’article de News.com, la fondation Mozilla prétend que la plupart des utilisateurs de Firefox ont évolué vers la dernière version 1.0.4, qui n’est pas vulnérable à l’exploit.