
Dans l’avis de sécurité, cette faille critique qui a désormais été identifié par CVE-2015-0818 a reçu un correctif dans la version précédente de Firefox (la version 36.0.4 ainsi que dans ESR – Extended Support Release – 31.5.2 et SeaMonkey 2.33.1). Mozilla a avancé qu’un correctif incomplet a été livré pour Firefox 36.0.3 et Firefox ESR 31.5.2.
La seconde, qui a été exploitée par le chercheur en sécurité ilxua1, est relative à l'implémentation de la vérification des limites d'un tableau typé et sa gestion dans la compilation JavaScript à la volée. Elle a permis au chercheur de lire et d’écrire dans la mémoire et d’exécuter un code arbitraire en local. Il a reçu 15 000 dollars (environ 14 000 euros) pour sa découverte. La faille critique a été répertoriée comme étant CVE-2015-0817 et a déjà été corrigée dans Firefox 36.0.3, Firefox ESR 31.5.2 ainsi que SeaMonkey 2.33.1. Le chercheur s’est également essayé à la compromission de Google Chrome, Internet Explorer et Safari sans succès.
Google pour sa part a diffusé une mise à jour Chrome 41.0.2272.101 pour Windows, OS X et Linux. Les notes de version ne sont que partielles et, bien que le lien n’ait pas été fait entre cette miise à jour et le concours Pwn2Own, nous notons que cette diffusion a été faite en marge de l’évènement. Il faut dire que durant l’évènement, Google Chrome n’a enregistré qu’une seule vulnérabilité, contre deux pour Safari, trois pour Mozilla Firefox, Adobe Reader et Flash, 4 pour Internet Explorer et 5 pour Windows.
En parlant des produits Microsoft, ils devraient selon toute vraisemblance, obtenir des correctifs durant le traditionnel Patch Tuesday de Redmond.
Source : blog Mozilla, blog Mozilla, blog Chrome
Vous avez lu gratuitement 609 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.