jeudi 15 septembre 2005
Des hackers travailleraient à exploiter le débordement de tampon des liens IDN, Tom Ferris revendique une nouvelle faille
CNET News.com signale que des chercheurs en sécurité affirment avoir trouvé une manière d’exploiter la dernière faille de sécurité de Mozilla, qui a été révélée par Tom Ferris la semaine dernière. Lorsqu’il a publié des détails sur la vulnérabilité de dépassement de mémoire tampon dans la gestion des liens des noms de domaine internationalisés (IDN), Ferris a joint un code de démonstration du bien-fondé de sa conception qui plante Mozilla Firefox (et les autres applications concernées) sans accomplir aucune autre action dangereuse. Cependant, Ferris affirme avoir créé une variante de la démonstration qui pourrait exécuter un code arbitraire et maintenant d’autres chercheurs, dont Berend-Janv. Wever, développent indépendamment leurs propres exploits. Wever affirme qu’il a réalisé son programme en seulement trois heures et demi.
Pourtant ni Ferris et ni Wever n’ont rendu public leur exploit mais l’article de News.com avertit que des attaquants hostiles ne sont probablement pas loin derrière les chercheurs en sécurité dans le développement d’attaques qui tirent profit de la vulnérabilité. Ferris est cité en disant que quelques personnes l’ont contacté pour lui demander le code de l’exploit. « Ceci m’indique que les auteurs de cheval de Troie recherchent bien quelque chose », a-t-il dit.
Vendredi dernier, un jour après que la faille de sécurité ait été rendue publique, la fondation Mozilla a diffusé une rustine de contournement qui désactive le support des IDN, garantissant que le code contenant des bogues ne serait pas exécuté. Un correctif plus durable, qui élimine le risque de sécurité sans enlever le support des IDN, a été développé et sera inclus dans Mozilla Firefox 1.0.7 et Mozilla 1.7.12 lorsqu’ils seront diffusés dans quelques jours. Hier, des versions candidates de Firefox 1.0.7 et de Mozilla 1.7.12 étaient mises à disposition pour tests.
News.com a un article sur les prochaines versions de Firefox 1.0.7 et de Mozilla 1.7.12 (c’est leur quatrième article concernant la faille en une semaine), qui inclut des commentaires de Mike Schroepfer, directeur de l’ingénierie à la fondation Mozilla. L’article déclare également que Ferris affirme avoir trouvé une vulnérabilité en rapport dans Firefox 1.5bêta 1 (mais pas dans Firefox 1.0.6 et supérieur), qui est présente même si la rustine pour désactiver les IDN a été installée. Il a publié un bulletin sur le site Web Security Protocols, s’y référant comme le Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow. Cependant, selon des commentaires du bogue 307259, cette question est un problème complètement différent, quoiqu’un avec un jeu d’essais superficiellement similaire à la faille des IDN. Cet autre bogue, est supposé être un simple plantage sans implications de sécurité, a été classé comme le bogue 308579, qui a été marqué comme un doublon du bogue 307875.
Ce n’est pas la première fois que Ferris a inexactement identifié un bogue de Mozilla. Son rapport original de la faille IDN a déclaré que c’était une vulnérabilité de chaîne formatée, alors qu’en fait c’était un dépassement de mémoire tampon. Il a été rapidement corrigé par les ingénieurs de Mozilla, qu’il a manqué de citer lorsqu’il a recopié leurs évaluations, quasiment mot pour mot, dans son bulletin Mozilla Firefox « Host: » Buffer Overflow. En outre, il a prétendu avoir rapporté la faille deux jours avant d’avoir ouvert réellement le rapport de bogue. Ferris a été également critiqué par beaucoup dans la communauté de la sécurité pour avoir révélé des détails de la faille des IDN sans avoir au préalable donné le temps à la fondation Mozilla de développer un correctif.
… à ce qu’il apparaît :-/
Larry Seltzer dans eWeek : « So why did Ferris provide all the gory detail about Firefox but shelter us from it with the Internet Explorer bug? »
http://www.eweek.com/article2/0,1895,1857319,00.asp
Je rappelle aussi que nous avons une traduction du bulletin de sécurité de la fondation Mozilla, avec le mode d’emploi détaillé de la solution de contournement :
Ce que les utilisateurs de Firefox et de Mozilla doivent connaître sur le problème de sécurité de dépassement de mémoire tampon des noms de domaine internationalisés (IDN)
http://www.mozillazine-fr.org/article.phtml?article=7307