Accueil > MULTIMEDIA > Mozilla corrige neuf failles dans Firefox
Mozilla corrige neuf failles dans Firefox
mardi 19 avril 2005, par
L’association Mozilla publie une mise à jour de son navigateur open source, Firefox, qui corrige plusieurs vulnérabilités jugées critiques par les experts en sécurité.
Le navigateur open source Firefox connaît la plus grave série de vulnérabilités depuis son lancement. Entre le 14 et le 18 avril, neuf failles au total ont été identifiées dans le produit phare de la Mozilla Foundation.
Huit d’entre elles ont été qualifiées de "hautement critique" par la société danoise de recherche en sécurité Secunia, soit son quatrième niveau de dangerosité sur une échelle de cinq. La quasi-totalité des versions du logiciel est concernée, de Firefox 0.x aux moutures 1.x. La suite Mozilla, qui inclut notamment le navigateur, est également affectée dans sa version 1.7.7, l’ultime de ce produit.
Selon les différents bulletins de sécurité postés par des développeurs indépendants sur le site de la Mozilla Foundation, les vulnérabilités touchent, pour la plupart, la gestion de code en langage JavaScript. Ce code obtiendrait un trop grand nombre de droits au sein du système, notamment en termes d’accès à la mémoire.
Une personne malintentionnée pourrait, par exemple, créer des pages web piégées qui, une fois lues par le navigateur, entraîneraient l’exécution d’un code malveillant altérant le système ou autorisant à en prendre le contrôle.
La Mozilla Foundation a rapidement corrigé ces failles et mis à disposition sur son site une nouvelle version de Firefox, la 1.0.3.
Pas de failles publiées sans leur correctif
Malgré les critiques récentes de l’éditeur Symantec, affirmant que Firefox deviendra vulnérable à mesure qu’il gagnera en popularité, l’association reste sereine. « Aucun produit n’est parfait, et Firefox a et aura des trous de sécurité », explique Tristan Nitot, président et fondateur de Mozilla Europe.
« Mais à la différence de nos concurrents, les vulnérabilités qui touchent notre navigateur sont très vite corrigées et ne sont pas rendues publiques tant qu’un correctif n’est pas disponible », poursuit le responsable.
Dans le cas présent, Firefox 1.0.3 a été disponible quasiment en même temps que la publication des failles. « Nous encourageons les développeurs à prendre d’abord contact avec nous afin de développer le correctif avant de révéler l’existence de la faille », poursuit le responsable.
La Mozilla Foundation ne peut pas, bien entendu, empêcher la publication sur le Net des secrets d’une faille de Firefox. Mais, selon Tristan Nitot, les développeurs pour l’instant jouent le jeu.
Par Christophe Guillemin, zdnet.fr