Faille de sécurité sur Firefox 3.5

Posez ici toutes les questions concernant un ou plusieurs logiciels, payants ou gratuits. Pour les demandes spécifiques aux systèmes d'exploitation, passez plutôt par les sections dédiées.

Modérateur: Modérateurs

Faille de sécurité sur Firefox 3.5

Messagepar Jacky25 » 16 Juil 2009 17:56

Bonjour,


Je viens de lire sur un forum que Firefox 3.5 avait une faille de sécurité javascript

Alors "info" ou "intox" ?
Firefox 3.5 : une faille critique identifiée dans le JavaScript

Une vulnérabilité affecte le traitement d'une balise HTML, ce qui laisse la porte ouverte à un pirate pour exécuter du code arbitraire à distance.

* Actualité. Publié sur itespresso.fr par La Rédaction
* le 15 juillet 2009 à 15:39
* Soyez le premier à réagir

Publicité

Une faille est apparue sur la dernière version 3.5 du navigateur Firefox, selon un bulletin d’alerte du CERTA en date du 15 juillet.

La cellule de veille de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’appuie sur une première alerte “hautement critique” diffusée par Secunia. L’information a également été transmises par le blog “sécurité” de la Fondation Mozilla.

Une vulnérabilité affectant le traitement d’une balise HTML permet à un pirate d’exécuter du code arbitraire à distance. Plus précisément, elle porterait sur le le traitement de la balise <font> par l’interpréteur JavaScript.

Dans l’attente d’un correctif, le CERTA recommande d’utiliser un navigateur alternatif ou de surfer avec la fonction JavaScript désactivé du navigateur de la Fondation Mozilla.

Quoiqu'il en soit, j'ai fais ce qu'ils préconisaient à savoir :

Vous pouvez dans la barre d'adresse taper: about:config.

puis dans le filtre de recherche taper: jit .

Double clic sur la ligne. " javascript.options.jit.content" pour faire passer la commande de "true" a"false.

Des que Firefox aura corrigé le probleme il faudra bien sur par la meme procedure retablir sur "true".
Image
Devise: Comtois, rends-toi ! Nenni, ma foi !
Avatar de l’utilisateur
Jacky25
 
Messages: 48
Inscription: 20 Fév 2009 16:08

Re: Faille de sécurité sur Firefox 3.5

Messagepar Falkra » 16 Juil 2009 18:05

Alors "info" ou "intox" ?
Info, c'est bien une faille.

Utilisez NoScript aussi, au besoin (tuto noscript).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Re: Faille de sécurité sur Firefox 3.5

Messagepar Z&n_M68¤ » 16 Juil 2009 18:09

Avatar de l’utilisateur
Z&n_M68¤
Maître Libellulien
Maître Libellulien
 
Messages: 505
Inscription: 17 Nov 2008 16:33
Localisation: -Terre-

Re: Faille de sécurité sur Firefox 3.5

Messagepar Jacky25 » 16 Juil 2009 18:18

Falkra a écrit:
Alors "info" ou "intox" ?
Info, c'est bien une faille.

Utilisez NoScript aussi, au besoin (tuto noscript).

C'est bien une info Fakra
Image
Devise: Comtois, rends-toi ! Nenni, ma foi !
Avatar de l’utilisateur
Jacky25
 
Messages: 48
Inscription: 20 Fév 2009 16:08

Re: Faille de sécurité sur Firefox 3.5

Messagepar Z&n_M68¤ » 16 Juil 2009 18:21

Moi je viens de virer ma liste blanche de NS en attendant .
Avatar de l’utilisateur
Z&n_M68¤
Maître Libellulien
Maître Libellulien
 
Messages: 505
Inscription: 17 Nov 2008 16:33
Localisation: -Terre-

Re: Faille de sécurité sur Firefox 3.5

Messagepar Falkra » 16 Juil 2009 18:24

Pour être affecté, il faut se trouver sur un site avec un code javascript piégé. Si vous utilisez NoScript avec une liste blanche, à moins que les sites clean que vous avez mis en liste blanche soient piratés, vous avez la paix.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Re: Faille de sécurité sur Firefox 3.5

Messagepar Falkra » 17 Juil 2009 11:00

Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Re: Faille de sécurité sur Firefox 3.5

Messagepar Jacky25 » 17 Juil 2009 18:24

Falkra a écrit:La faille est corrigée :
http://www.libellules.ch/news/index.php ... disponible

Merci Falkra
Image
Devise: Comtois, rends-toi ! Nenni, ma foi !
Avatar de l’utilisateur
Jacky25
 
Messages: 48
Inscription: 20 Fév 2009 16:08

Re: Faille de sécurité sur Firefox 3.5

Messagepar Burma » 21 Juil 2009 19:35

Bonjour.Il semblerai que le même genre de faille existerai sur la version 3.5 01
Windows 7 Premium 64 Bits/Firefox/Gdata/Ordinateur de bureau:Acer Emachine:EL 1840.4 GB DDR3/HD:500 GB/NvadiaGforce 315/
Avatar de l’utilisateur
Burma
Maître Libellulien
Maître Libellulien
 
Messages: 876
Inscription: 16 Juil 2009 19:48
Localisation: 75011

Re: Faille de sécurité sur Firefox 3.5

Messagepar Mango » 21 Juil 2009 20:19

Bonjour
Burma a écrit:Bonjour.Il semblerai que le même genre de faille existerai sur la version 3.5 01

Rumeur...
Il me semble que c'est fixé
Mozilla Foundation Security Advisory 2009-41

Title: Corrupt JIT state after deep return from native function
Impact: Critical
Announced: July 16, 2009
Reporter: zbyte
Products: Firefox 3.5

Fixed in: Firefox 3.5.1
Description

Firefox user zbyte reported a crash that we determined could result in an exploitable memory corruption problem. In certain cases after a return from a native function, such as escape(), the Just-in-Time (JIT) compiler could get into a corrupt state. This could be exploited by an attacker to run arbitrary code such as installing malware.

We would like to thank community members Lucas Kruijswijk and Nochum Sossonko for isolating the problematic script from the original crashing site.

This vulnerability does not affect earlier versions of Firefox which do not support the JIT feature.
Users of Firefox 3.5 can avoid this vulnerability by disabling the Just-in-Time compiler as described in the Mozilla Security Blog .That workaround is not necessary in Firefox 3.5.1 and can be reverted.

http://bit.ly/14Pysw
Mango
Libellulien
Libellulien
 
Messages: 60
Inscription: 23 Juil 2007 19:11


Retourner vers Software - Logiciels

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités