vendredi 9 septembre 2005
Un dépassement de mémoire tampon pour les liens dans Mozilla Firefox permet l’exécution de code arbitraire
CNET News.com rapporte que des détails d’une faille par dépassement de mémoire tampon dans Mozilla Firefox ont été rendus public. La vulnérabilité de sécurité est due à un bogue dans la manière dont les liens longs avec des tirets sont traités et est décrite comme permettant à un agresseur d’exécuter un code arbitraire sur le système de la victime.
Le problème a été découvert par le chercheur en matière de sécurité Tom Ferris et publié hier sur le site Web Security Protocols. L’alerte de Security Protocols désigne la faille sous l’intitulé Mozilla Firefox « Host: » Buffer Overflow et affirme qu’elle est présente dans Firefox 1.0.6 et Firefox 1.5 bêta 1. L’avis présente quelques exemple extrêmement simples de code d’exploit, ce qui plantera Firefox si c’est inséré dans une page Web.
La French Security Incident Response Team (FrSIRT) a publié deux alertes relatives à la vulnérabilité de sécurité. Le bulletin Mozilla Browsers « Host: » Parameter Remote Buffer Overflow prévient que la faille touche à la fois Mozilla Firefox et la dernière version de la suite applicative Mozilla, tandis que le bulletin Netscape « Host: » Parameter Remote Buffer Overflow Vulnerability déclare que Netscape Browser 8.0 est également touché.
Selon l’article de News.com, Ferris a rapporté la faille à la fondation Mozilla dimanche, en accord avec la politique des bogues de sécurité de Mozilla. Cependant, il a décidé de rendre la vulnérabilité public « après une dispute avec l’équipe dirigeante de Mozilla ».
Merci à roseman pour le lien vers l’article de News.com, Juha-Matti Laurio et Padraig O’hIceadha pour le lien vers la documentation de Security Protocols et Juha-Matti Laurio encore pour les liens vers les bulletins de FrSIRT.
Mise à jour : La fondation Mozilla a publié un document intitulé Ce que les utilisateurs de Mozilla doivent connaître sur le problème de sécurité de dépassement de mémoire tampon des noms de domaine internationalisés (IDN), qui explique comment les utilisateurs peuvent se prémunir contre la faille en désactivant la prise en charge des noms de domaine internationalisés (le dépassement de mémoire tampon est dans le code qui normalise les IDN). Un correctif qui désactive la prise en charge des IDN sera publié bientôt comme une alternative pour les utilisateurs qui ne souhaitent pas modifier manuellement la configuration par défaut de leur navigateur. Ce correctif mettra à jour le numéro de version de Firefox de 1.0.6 à 1.0.6.1 et de la suite applicative Mozilla de 1.7.11 à 1.7.11.1.
Le rapport de bogue de Ferris sur le problème, le bogue 307259, a été maintenant rendu public. Le bogue a été enregistré mardi après-midi (heure d’été du Pacifique) et non dimanche comme l’a prétendu Ferris au départ. Selon les commentaires dans le rapport, un correctif plus permanent du problème (un qui n’implique pas la désactivation du support des IDN) a été développé et sera inclus dans les versions à venir.
Dans une légère rectification aux informations ci-dessus, veuillez noter que la vulnérabilité de sécurité est exploité en utilisant les liens longs avec des traits d’union, non pas des tirets (bien que les traits d’union et les tirets ont l’air semblables à l’écran, ils ne sont pas le même caractère).
Une autre mise à jour : Le correctif téléchargeable pour désactiver le support des IDN est maintenant disponible. Il ne met pas à jour le numéro de version comme prévu au départ, mais ajoute à la place "(noIDN)" à l’identifiant du navigateur (user-agent string).
NDT : Retrouvez la traduction en français du bulletin de correction du problème de sécurité publié par la fondation Mozilla dans l’article complet indiqué ci-dessous.
Le 6 septembre, une vulnérabilité de sécurité touchant toutes les versions de Mozilla Firefox et la suite Mozilla a été signalée à Mozilla par Tom Ferris et a été divulguée publiquement le 8 septembre.
Le 9 septembre, l’équipe de Mozilla a publié un changement de la configuration qui résout le problème en désactivant explicitement les noms de domaine internationalisés (IDN) dans le navigateur. Le correctif consiste soit en un changement manuel de la configuration soit en un petit téléchargement qui fait ce changement de configuration pour l’utilisateur. Les instructions pour appliquer ces changements peuvent être trouvées ci-dessous.
Comment mettre à jour
Il y a deux méthodes pour résoudre ce problème. La première méthode consiste à installer un petit téléchargement et la seconde méthode consiste à changer manuellement la configuration du navigateur.
* Installation du correctif
– Pour installer le correctif de sécurité pour Firefox et la suite Mozilla, suivez ces instructions :
- Les utilisateurs de Firefox et de la suite Mozilla copient et collent cette adresse dans le champ d’adresse et appuient sur Entrée :
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi
ou cliquez sur ce lien : http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi - Dans la fenêtre d’installation de logiciels, cliquez sur le bouton « Installer maintenant ».
- Quittez et redémarrez votre navigateur Mozilla ou Firefox.
– Pour vérifier la correction dans Firefox et la suite Mozilla, assurez-vous de redémarrer le navigateur et ensuite suivez ces étapes :
- Dans Firefox, cliquez sur ? (Aide) -> A propos de Mozilla Firefox et vérifiez que l’identifiant du navigateur (user agent string) contienne "(noIDN)"
- Dans la suite Mozilla cliquez sur Aide -> A propos de Mozilla et vérifiez que l’identifiant du navigateur (user agent string) contienne "(noIDN)"
* Configuration manuelle du navigateur
– Pour changer manuellement la configuration du navigateur pour Firefox ou la suite Mozilla, suivez ces instructions :
- Saisissez about:config dans le champ d’adresse et appuyez sur Entrée.
- Dans la barre « Filtre », saisissez
network.enableIDN
. - Cliquez-droit sur l’entrée network.enableIDN et choisissez « Inverser » pour changer la valeur en « false ».
– Pour vérifier la correction dans votre application Firefox ou Mozilla, assurez-vous de redémarrer le navigateur et ensuite suivez ces étapes :
- Saisissez about:config dans le champ d’adresse et appuyez sur Entrée.
- Dans la barre « Filtre », saisissez
network.enableIDN
. - Assurez-vous que la valeur de cette entrée est « false ».
Nous estimons la sûreté et la sécurité de nos utilisateurs et continuerons à faire des efforts pour sortir des produits sûrs et à répondre rapidement quand des vulnérabilités de sécurité sont identifiées dans nos logiciels.
Traduction par MozillaZine-fr du bulletin du 9 septembre 2005 de la Mozilla Foundation sous licence Creative Commons : « Paternité – Partage des conditions initiales à l’identique 2.0 ».
bonjour,
ce problème se pose quelques soit le système d’exploitation sur lequel est installé Firefox, ou seulement sur Windows ?
Tous les systèmes (Windows, Linux et Mac) sont touchés 😉
Jusqu’a présent, j’avais toujours donné raison aux partisants du full-disclosure, les arguments présentés étaient valables (sans publication de l’exploit les éditeurs laissent les failles), mais dans ce cas, il se fiche du monde : 3 jours entre la découverte et la publication de l’exploit ! Ce type, dont j’ignore les mobiles et la dispute se conduit juste comme un gros c..
Avec des idiots de son genre, le full-disclosure, ou même le travail de sécurité deviendra illégal, juste parcequ’il n’a pas su se retenir de publier la « faille qui le rendra célèbre »; pitoyable.
entièrement d’accord avec toi.
de plus il jette un discrédit (pas trop heureusement) sur Firefox.
<parano>
peut-être est-ce le but…
</parano>
hmmm chez moi ça ne plante pas quand je visite cette page : http://www.security-protocols.com/firefox-death.html (attention, c’est censé faire planter firefox)
Je pense que c’est un patch propre à ma distrib qui en est la cause (gentoo), sans pouvoir en être certain.
D’autres personnes qui ont essayé peuvent elles dire ce qu’il s’est produit svp ?
pour passer la valeur de true a false, dites comment faire: double cliquer sur la ligne.
C’est pas forcement évident pour tout le monde ^^.
Le mode d’emploi détaillé est traduit dans l’article complet…
Et pour les Macs (OS X)?
j’ai beau regarder de près, je ne trouve pas le « champ d’adresse », donc je ne sais pas où saisir « about:config », ni la barre « Filtre ».
j’ai téléchargé le plug-in 307259.xpi mais mon Mac n’en a rien à faire! Quand on clique sur le plug-in, le mac ne sait pas ce que c’est et demande de choisr une application. laquelle choisir?