Grosse faille dans moteur Mozilla

geronimo -  
 Utilisateur anonyme -
Tout les mozilla et dérivé sont touché (donc compris aussi tout les firefox et autres netscape <=7)
Comme dhab...
-> re-changer de navigateur et re- passer sur Opera ou meme IE...

le seul moyen de rester sur les mozilla c de désactiver le JS, autant dire que le navigateur est mort le temps qu'ils résolve ce bug...

Voir
http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/

Conseil : tjrs avoir 2 ou 3 navigateurs pour passer de l'un a l'autre comme ca pas de souci et tjrs (+/-) protégé ;-)
A voir également:

10 réponses

sebsauvage Messages postés 32893 Date d'inscription   Statut Modérateur Dernière intervention   15 662
 
Pouark !

Il est vraiment vilain, ce bug là !

Et vraiment très grave.


Merde alors :-(

Pourvu que la fondation Mozilla sorte vite un patch.



Merci de l'info.
0
marc[i1] Messages postés 2573 Date d'inscription   Statut Contributeur Dernière intervention   382
 
La fondation Mozilla sort des correctifs début de semaine prochaine !!

http://mozillazine-fr.org/archive.phtml?article=6348
0
Ravachol Messages postés 566 Date d'inscription   Statut Membre Dernière intervention   120
 
Salut,
Bon, déjà l'info avait été donnée ici: http://www.commentcamarche.net/forum/affich-1420596-Failles-dans-FireFox
Et de manière plus "objective", en effet la faille est classée "moderately critical" par ceux qui l'on découverte.
Car quelle exploitation peut on faire de 10ko de données chopées aléatoirement dans la mémoire ?
Il y a t-il exécution de code à distance à l'insue du plein gré de l'utilisateur ? ;-)

Donc pas de panique et attendons le correctif dont une version RC est d'ailleurs en cours de test, dispo ici: http://blogzinet.free.fr/index.php?2005/04/03/612-tester-firefox-103-rc-2

A++
0
Ravachol Messages postés 566 Date d'inscription   Statut Membre Dernière intervention   120
 
Désolé pour le doublon.
0
marc[i1] Messages postés 2573 Date d'inscription   Statut Contributeur Dernière intervention   382
 
bah on a posté en même temps :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sebsauvage Messages postés 32893 Date d'inscription   Statut Modérateur Dernière intervention   15 662
 
Car quelle exploitation peut on faire de 10ko de données chopées aléatoirement dans la mémoire ?

Les envoyer à un site web (URLs que tu as visitées, bouts du cache.... cookies ?)
0
Ravachol Messages postés 566 Date d'inscription   Statut Membre Dernière intervention   120
 
D'accord, mais la probabilité de tomber sur quelque chose de significatif et quand même très faible.
0
sebsauvage Messages postés 32893 Date d'inscription   Statut Modérateur Dernière intervention   15 662 > Ravachol Messages postés 566 Date d'inscription   Statut Membre Dernière intervention  
 
Pas tant que ça:
Le site de Secunia m'a montré des URLs que j'ai visitées, et des trucs qui étaient dans mon cache.
0
marc[i1] Messages postés 2573 Date d'inscription   Statut Contributeur Dernière intervention   382
 
La faille est très importante car ouvrez votre webmail puis refaite le test, le login et le mot de passe apparraisse en clair !

Donc lors de la sortie de la 1.0.3, vous pourrez l'installer au plus vite !
^_^

Faille trouvée > faille vite corrigée ! Qui dit mieux ?
0
AsKy Messages postés 1001 Date d'inscription   Statut Contributeur Dernière intervention   65
 
effectivement le test m'a affiché l'url de mon webmail avec l'id de session avec d'autres url que j'étais en train de visiter...

par contre il a fait planter firefox au 2e essai...

et elle est vraiment tres simple a déclencher ! (apres... de la a l'interpréter automatiquement pour une exploitation de la faille a grande échelle c'est une autre affaire)
0
tafiscobar Messages postés 1277 Date d'inscription   Statut Contributeur Dernière intervention   177
 
Au fait la mise a jour est sorti, en tout cas qd j'ai été a leur site ils m'ont demandé gentillement de remettre a jour le navigateur. Ce n'est pas 1.0.3 mais cela reste 1.0.2 avec les correctifs compilés avec =>
0
marc[i1] Messages postés 2573 Date d'inscription   Statut Contributeur Dernière intervention   382
 
non pas du tout !!!

pour le moment seul la version 1.0.2 est dispo en version « stable »
Si tu veux la version 1.0.3, il te faut récupérer la RC dispo sur les miroirs de la fondation :
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/aviary1.0.1-l10n-candidates/

Mais tu peux aussi patienter jusqu'à mardi ^_^
0
tafiscobar Messages postés 1277 Date d'inscription   Statut Contributeur Dernière intervention   177
 
t'as lu ce que j'ai ecrit? j'ai pas dit que la version 1.0.3 etait sorti, j'ai dit qu'ils ont publié un correctif (je ne sais lequel) et que cela restait ds le 1.0.2 (en tout cas, j'ai bien téléchargé hier un correctif).
0
Utilisateur anonyme
 
Microsoft n'a pas encore utilisé cette information pour nourrir une campagne de dénigrement ?
0