Archive

Articles taggués ‘vulnérabilités’

Firefox : version 3.0.8 disponible et défi lancé à Microsoft

28/03/2009 Aucun commentaire

firefox-new-logo_007b000000078763La Fondation Mozilla livre une nouvelle version estampillée 3.0.8 de son navigateur Web Firefox afin de corriger deux vulnérabilités de sécurité. Microsoft sera-t-il aussi rapide se demande le président de Mozilla Europe qui lance un défi concernant Internet Explorer 8.

Cette mouture 3.0.8 de Firefox était attendue pour le début de la semaine prochaine mais a finalement été publiée plus tôt que prévu, se cantonnant donc à la correction de vulnérabilités de sécurité, soit deux qualifiées de critiques.

L’une de ces vulnérabilités a été mise au jour à l’occasion du concours Pwn2Own par le mystérieux Nils. Mozilla avait pourtant à priori le temps nécessaire pour la corriger, cette vulnérabilité étant placée sous le sceau du secret par la société organisatrice TippingPoint. La deuxième vulnérabilité paraissait par contre plus urgente à corriger du fait de sa divulgation publique par son découvreur Guido Landi.

Ce chercheur en sécurité italien adepte du full disclosure, une pratique sujette à caution, a découvert et donné toutes les indications nécessaires à l’exploitation d’une vulnérabilité où une feuille de style XSL peut être utilisée pour planter le navigateur lors d’une transformation XSL. Un attaquant peut lui tirer parti de ce crash pour exécuter du code arbitraire sur une machine prise pour cible. Lire la suite…

Share
Categories: Actualité Tags: , , , ,

CanSecWest : les navigateurs vont avoir chaud sous Windows 7

20/02/2009 Aucun commentaire

hacker2secunews8ybLa conférence mondiale sur la sécurité informatique CanSecWest sera comme chaque année le théâtre d’un concours de hacking au cours duquel les navigateurs Web IE8, Firefox, Safari et Opera devront subir des attaques sur une machine équipée Windows 7.

Du 16 au 20 mars 2009 va se tenir à Vancouver au Canada, la conférence mondiale sur le sécurité informatique, CanSecWest. Un peu en marge de cette manifestation, va se dérouler une nouvelle fois un concours de hacking sous l’égide de la société TippingPoint, filiale de 3Com.

L’année dernière, ce concours baptisé Pwn2Own avait vu passer sur le gril trois systèmes d’exploitation : Windows Vista Ultimate SP1, Mac OS X 10.5.2 Leopard et Ubuntu 7.10, tous trois équipant une machine spécifique dont un MacBook Air pour l’OS d’Apple. Après assouplissement des règles du concours, c’est d’ailleurs cette dernière qui avait fini par rendre les armes en premier.
En seulement deux minutes, Charlie Miller avait réussi à prendre son contrôle en exploitant un bug dans Safari (présent par défaut), empochant au passage la somme rondelette de 10 000 dollars ainsi que le MacBook Air. L’ordinateur sous Windows Vista avait suivi après installation autorisée de logiciels tiers et la présence d’une faille dans Flash Player. Une petite polémique était toutefois née face au manque d’envie des participants aux concours d’éprouver la distribution Linux.

Les navigateurs sur la sellette Windows 7
Cette année, le concours Pwn2Own sera consacré aux navigateurs Web et en l’occurrence Internet Explorer 8, Firefox, Safari et Opera. Les modalités du concours ne sont pas encore connues (comme toutes les versions des fureteurs d’ailleurs), mais il est probable qu’il s’agira d’exploiter une vulnérabilité 0-day afin de prendre le contrôle total d’une machine. Le champ d’expérimentation est justement connu : un notebook Sony VAIO P fonctionnant sous Windows 7. On sent déjà poindre une nouvelle polémique avec du côté de Microsoft, tant un navigateur qu’un OS qui ne sont pas disponibles dans leur version finale.

Une petite originalité cette année sera aussi qu’il n’y aura en réalité pas un mais deux concours, puisque des systèmes d’exploitation dans le domaine du mobile devront également subir des attaques : Android, iPhone, Symbian, Windows Mobile, RIM.

A l’issue du concours, les vulnérabilités 0-day découvertes et exploitées ne sont pas lâchées dans la nature et sont portées en toute discrétion à la connaissance des éditeurs concernés.

GNT

Share
Categories: Actualité Tags: , , , , ,
Développement photo - Favorisxp.com