Mozilla déploie un second correctif pour colmater une faille découverte sur Firefox
Lors du concours Pwn2Own

27PARTAGES

1  0 
Durant l’édition 2015 du concours de hacking Pwn2Own, les défenses de sécurité du navigateur web de Mozilla ont été défaites à deux reprises. La première faille a permis au chercheur en sécurité Mariusz Mlynski d’obtenir une élévation de privilèges exploitant une vulnérabilité dans le traitement du format de fichier SVG (image vectorielle) lors d'une navigation. Un exploit qui permet d’exécuter des scripts arbitraires. Il a reçu 55 000 dollars (environ 50 350 euros) pour sa découverte.

Dans l’avis de sécurité, cette faille critique qui a désormais été identifié par CVE-2015-0818 a reçu un correctif dans la version précédente de Firefox (la version 36.0.4 ainsi que dans ESR – Extended Support Release – 31.5.2 et SeaMonkey 2.33.1). Mozilla a avancé qu’un correctif incomplet a été livré pour Firefox 36.0.3 et Firefox ESR 31.5.2.

La seconde, qui a été exploitée par le chercheur en sécurité ilxua1, est relative à l'implémentation de la vérification des limites d'un tableau typé et sa gestion dans la compilation JavaScript à la volée. Elle a permis au chercheur de lire et d’écrire dans la mémoire et d’exécuter un code arbitraire en local. Il a reçu 15 000 dollars (environ 14 000 euros) pour sa découverte. La faille critique a été répertoriée comme étant CVE-2015-0817 et a déjà été corrigée dans Firefox 36.0.3, Firefox ESR 31.5.2 ainsi que SeaMonkey 2.33.1. Le chercheur s’est également essayé à la compromission de Google Chrome, Internet Explorer et Safari sans succès.

Google pour sa part a diffusé une mise à jour Chrome 41.0.2272.101 pour Windows, OS X et Linux. Les notes de version ne sont que partielles et, bien que le lien n’ait pas été fait entre cette miise à jour et le concours Pwn2Own, nous notons que cette diffusion a été faite en marge de l’évènement. Il faut dire que durant l’évènement, Google Chrome n’a enregistré qu’une seule vulnérabilité, contre deux pour Safari, trois pour Mozilla Firefox, Adobe Reader et Flash, 4 pour Internet Explorer et 5 pour Windows.

En parlant des produits Microsoft, ils devraient selon toute vraisemblance, obtenir des correctifs durant le traditionnel Patch Tuesday de Redmond.

Source : blog Mozilla, blog Mozilla, blog Chrome

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 23/03/2015 à 22:56
Donc si j'ai bien compris, Firefox et Google, on patch dès qu'on sait, alors que Microsoft, on patch quand on a un trou dans le planning ?

Après on s'étonne que MS a besoin de plus de 90j pour faire ses corrections. {'^_^}
5  2 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 23/03/2015 à 23:08
Citation Envoyé par xurei Voir le message
Les exploits sont-ils disponibles publiquement ou sont-ils conservés farouchement sous clef ? (ce qui serait logique, mais on ne sait jamais...)
Jamais de la vie : "La première règle du Fight Club est qu'un ne parle pas du Fight Club"

Même et surtout les hackers non éthiques gardent jalousement leurs secrets. C'est pour cette raison que le Russe dont la tête est mise à prix 3 millions de dollars, ce n'est pas pour la couper mais bien pour extraire tout ce qu'il peut savoir faire afin de s'en servir par les services, dixit Snowden au CeBit.

L'ancienne Black Hat qui a conçu et réalise Qubes OS est partie du principe de base qu'un jour ou l'autre n'importe quel système sera hacké. C'est la raison pour laquelle on emploie le terme de sureté et non de sécurité.

Une précision en passant, les "meilleurs" exploits ne sont pas connus, justement. le hack de Sony n'est par exemple pas de l'art, mais du cochon. La NSA et son accés aux DD serait plus dans la catégorie artistique car très peu le savait avant que ce soit révélé par la Presse, même dans notre milieu. Seuls ceux qui font de la veille, s'en sont rendu compte. Et encore, pas tous.

A la lecture de l'article, 20+ ans de négligence laissent un chantier immense et un travail de romains à effectuer qui commencent par changer les mentalités, autant côté utilisateur que donneur d'ordres et concepteurs.
2  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 25/03/2015 à 1:08
Citation Envoyé par Uther Voir le message
J'aimerai bien une explication là, Parce que si tous les bug n'entraînement pas des failles. Les failles de sécurité découlent normalement soit d'une erreur de programmation, soit de conception.
.. faudrait savoir, soit tu parles de Bug, soit tu parles d'erreur de conception.
Ou alors pour toi c'est la même chose ???

En tous cas, cette confusion ferait de la peine à Grace Hopper. Bien sur, le Harvard Mark II avait été conçu sans moustiquaires –directes- parce que les bâtiments abritant cet ordinateur en étaient -en principe- pourvus.

Aujourd'hui, on dit que le problème se situe entre la chaise et le clavier, mais à cette époque il s’agissait plutôt de tout ce qui se trouvait entre les portes, les fenêtres, et une machine de plusieurs mètres cube.

Sinon, et pour en revenir sur l’autre confusion (celle de confondre une faille de sécurité avec un bug): on va prendre un exemple classique, celle de l’injection SQL sur les sites internet.

Grosso modo, elle consiste à utiliser le passage des arguments d'un simple lien [qui déterminera les infos à afficher par la suite].
La page calculée en retour utilisant directement ces arguments pour établir une requête SQL.

Comme cette opération en passe forcément par l’envoi d’une URL sur le serveur, les hackers « Noirs » utilisent cette voie pour envoyer leurs requêtes SQL qui soutirent toutes les infos possibles des bases disponibles sur les serveurs, etc…

Je ne vais pas rentrer dans les détails, car le Hacking par injection SQL est largement expliqué sur la toile.

De base, ce type de site fonctionne parfaitement, et prévoir d’avance qu’un hacker puisse détourner l’utilisation des liens-url pour piller une base de donnée, ce n’est ni un problème de programmation, ni de conception, c'est une problèmatique à part, qui s'appelle la sécurité.

Dans ce cas la, autant reprocher aux fabricants de parapluies de n’avoir toujours rien corrigé à leur produits, surtout après la fameuse histoire du parapluie Bulgare !!!
Il y a d'autres exemples, pour les fabricants de portes et de serrures, sans oublier le vase de Soisson qui aurait du être incassable ! (en évitant ainsi de traumatiser des générations d'écoliers)

Et puis, comme je l’ai souligné dans un autre post, dans le développement logiciel, la part de budget alloué aux problèmes de sécurité sont plutôt rare ; et c’est déjà suffisamment compliqué en soi de réaliser un soft de A à Z en temps et heure. On trouvera toujours un petit malin capable de détourner une fonctionnalité au détriment de son usage initial.

La sécurité, c’est un jeu du chat et de la souris, ça prends beaucoup de temps [et d'argent], pour un résultat impalpable, sinon devenir des pertes, parfois considérables.
2  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 12/04/2015 à 16:28
Citation Envoyé par zulu1 Voir le message
Il ne faut pas faire de la méchanceté. N'oubliez pas que Barnabe est mort. Et il n'avait que 30 ans.
-1

Mais de qui parles tu ??

Au moins, sur ce point je suis d'accord avec Matthieu Vergne, si ne tu donne aucune référence, ça reste incompréhensible (et voire une preuve de sénilité pour certains).
2  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 24/03/2015 à 8:04
Citation Envoyé par psychadelic Voir le message
Et secondo, une faille de sécurité dans un logiciel : ce n'est pas un Bugg.
J'aimerai bien une explication là, Parce que si tous les bug n'entraînement pas des failles. Les failles de sécurité découlent normalement soit d'une erreur de programmation, soit de conception.

Citation Envoyé par psychadelic Voir le message
Ce que le Hacker recherche, ce n'est pas la prise de contrôle du Logiciel (IE11 par exemple) dans d'utiliser les failles de celui-ci pour prendre la main du système tout entier (Windows ici dans l'exemple).
Prendre le controle du système complet est l'exploit idéal, mais prendre le contrôle seulement du navigateur est déjà une faille très grave qui permet notamment de faire du fishing ou du vol de données, et ça donne droit a une partie de la récompense.
1  0 
Avatar de ZenZiTone
Membre expert https://www.developpez.com
Le 25/03/2015 à 9:42
Citation Envoyé par Uther Voir le message
Bah on a juste pas la même définition du "bug". Pour moi un bug est une erreur que son origine soit la réalisation, ou la conception du code. D'ailleurs avec tout le respect que je doit à Grace Hopper, ce n'est pas elle qui a inventé le mot bug qui servait déjà à désigner des erreurs de conception de systèmes mécaniques avant l'avènement de l'informatique. Elle s'est juste contenté de relever dans ses notes l'ironie du fait qu'elle avait eu à faire un "bug" qui c'était avéré être un véritable insecte.

Après le problème de sécurité ne se limite pas en effet aux une erreurs de programmations. Par exemple un mauvais paramétrage d'un réseau, d'un système, ou d'application sensibles peut ouvrir une brèche de sécurité. Mais ce n'est pas du tout ce qui était recherché dans ce concours. Dans ce concours on cherchait bien à exploiter des bugs de l'application, la plupart étant des erreurs de programmation des plus courantes (overflow, use after free, race condition, ...)

Pour moi l'injection SQL est justement un bon exemple d'une faille de sécurité qui est un bug. En fait, ce n'est qu'un cas particulièrement dangereux de la sécurisation des données en entrées, au même titre que l'on t'apprends dès que tu débute à refuser les lettres quand tu attends une valeur numérique. Dès qu'on réalise un programme dont l'usage n'est pas interne, il faut s'assurer que son programme ne fait pas n'importe quoi s'il il reçoit une valeur imprévue. Pour moi c'est clairement un bug car même s'il n'y avait pas risque de vol, ou d'altération des données, ça peut provoquer un plantage.
Donc pour résumé, un bug serait un évènement non désiré (que se soit sur un application ou sur un système)?

Alors que la version de psychadelic pourrait se résumer à un événement qui ne permet pas de répondre au besoin métier du système?
1  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 25/03/2015 à 9:53
j'ai un exemple à vous soumettre, est-ce un "bug" ou pas ?

sur un site web d'une SSII spécialiste du développement Web, il y avait un produit (c'est un cas réel) permettant de partager des documents entre utilisateurs...une fois authentifié, on pouvait voir son profile et son mot de passe qui apparaissait en clair (ça c'est un bug ou pas déjà ?)

la page du profile s'appelait profile.php avec un paramètre id=XXX où XXX était l'id unique de la base....http://ssii.pro/profile.php?id=456

et donc je me suis amusé à taper http://ssii.pro/profile.php?id=455...ce qui m'a permis de consulter la fiche d'un autre utilisateur, connaître ses coordonnées et ... son mot de passe

alors bug ou problème de sécurité ?

Selon toi, psychadelic, venir taper un 5 à la place d'un 6 dans l'URL c'est de l'ordre du moustique et de la fenêtre ou de la responsabilité du programmeur ?
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 25/03/2015 à 10:50
Citation Envoyé par Paul TOTH Voir le message
sur un site web d'une SSII spécialiste du développement Web, il y avait un produit (c'est un cas réel) permettant de partager des documents entre utilisateurs...une fois authentifié, on pouvait voir son profile et son mot de passe qui apparaissait en clair (ça c'est un bug ou pas déjà ?)
Le mot bug n'a pas de définition très précise mais pour moi, ce n'est pas un bug, ni même une faille en soi car ce n'est exploitable qu'en conjonction avec une autre vulnérabilité, mais c'est clairement un problème de sécurité qui devrait être évitée.

Citation Envoyé par Paul TOTH Voir le message
et donc je me suis amusé à taper http://ssii.pro/profile.php?id=455...ce qui m'a permis de consulter la fiche d'un autre utilisateur, connaître ses coordonnées et ... son mot de passe

alors bug ou problème de sécurité ?
C'est un bug qui entraine une faille de sécurité selon moi.
De ce que je comprend du point de vue de psychadelic, pour lui ça ne rentrerait pas dans le domaine du bug.
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 25/03/2015 à 11:53
Conseil de base pour la conception :

- encadrez vos déclarations de variables
- encadrez vos entrées de boucles sur la condition de sortie de ladite boucle

Votre donneur d'ordre râle car cela prend du temps et remet en cause le fonctionnement ?
Demandez lui de signer pour un chiffre compris entre NULL et l'infini en cas de pertes de données allant de sensibles à la mort du client.

"Un client mort n'a jamais été un bon business."
1  0 
Avatar de ZenZiTone
Membre expert https://www.developpez.com
Le 25/03/2015 à 13:54
Citation Envoyé par Captain_JS Voir le message
La logique métier ? du genre je me connecte pour avoir accès à MON espace privé mais en fait j'ai accès à TOUS les espaces privés ?
Euh plutôt quelque chose du genre : je reçois tel instruction avec tel paramètre, je lui renvois tel résultat. Ici, c'est une erreur de conception au sens ou le traitement n'inclue pas de vérification d'identité avant de renvoyer un résultat. Mais dans l'absolu, le programme fait bien ce qu'on lui demande.
1  0 
Wine sur Windows 10, ça marche grâce au sous-système dédié à Linux
Une application de partouze laisse fuiter les données personnelles et les photos de ses utilisateurs, y compris ceux de la Maison-Blanche et de la Cour suprême
Les hackers peuvent attaquer votre réseau en vous faisant livrer un petit dispositif malveillant par courrier, cette technique a été nommée Warshipping
Apprendre à utiliser le format SVG - SVG et le web, un tutoriel de Maurice Chavelli
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web