Firefox : version 3.0.8 disponible et défi lancé à Microsoft
La Fondation Mozilla livre une nouvelle version estampillée 3.0.8 de son navigateur Web Firefox afin de corriger deux vulnérabilités de sécurité. Microsoft sera-t-il aussi rapide se demande le président de Mozilla Europe qui lance un défi concernant Internet Explorer 8.
Cette mouture 3.0.8 de Firefox était attendue pour le début de la semaine prochaine mais a finalement été publiée plus tôt que prévu, se cantonnant donc à la correction de vulnérabilités de sécurité, soit deux qualifiées de critiques.
L’une de ces vulnérabilités a été mise au jour à l’occasion du concours Pwn2Own par le mystérieux Nils. Mozilla avait pourtant à priori le temps nécessaire pour la corriger, cette vulnérabilité étant placée sous le sceau du secret par la société organisatrice TippingPoint. La deuxième vulnérabilité paraissait par contre plus urgente à corriger du fait de sa divulgation publique par son découvreur Guido Landi.
Ce chercheur en sécurité italien adepte du full disclosure, une pratique sujette à caution, a découvert et donné toutes les indications nécessaires à l’exploitation d’une vulnérabilité où une feuille de style XSL peut être utilisée pour planter le navigateur lors d’une transformation XSL. Un attaquant peut lui tirer parti de ce crash pour exécuter du code arbitraire sur une machine prise pour cible. Lire la suite…
