Durant l’édition 2015 du concours de hacking Pwn2Own, les défenses de sécurité du navigateur web de Mozilla ont été défaites à deux reprises. La première faille a permis au chercheur en sécurité Mariusz Mlynski d’obtenir une élévation de privilèges exploitant une vulnérabilité dans le traitement du format de fichier SVG (image vectorielle) lors d'une navigation. Un exploit qui permet d’exécuter des scripts arbitraires. Il a reçu 55 000 dollars (environ 50 350 euros) pour sa découverte.
Dans l’avis de sécurité, cette faille critique qui a désormais été identifié par CVE-2015-0818 a reçu un correctif dans la version précédente de Firefox (la version 36.0.4 ainsi que dans ESR – Extended Support Release – 31.5.2 et SeaMonkey 2.33.1). Mozilla a avancé qu’un correctif incomplet a été livré pour Firefox 36.0.3 et Firefox ESR 31.5.2.
La seconde, qui a été exploitée par le chercheur en sécurité ilxua1, est relative à l'implémentation de la vérification des limites d'un tableau typé et sa gestion dans la compilation JavaScript à la volée. Elle a permis au chercheur de lire et d’écrire dans la mémoire et d’exécuter un code arbitraire en local. Il a reçu 15 000 dollars (environ 14 000 euros) pour sa découverte. La faille critique a été répertoriée comme étant CVE-2015-0817 et a déjà été corrigée dans Firefox 36.0.3, Firefox ESR 31.5.2 ainsi que SeaMonkey 2.33.1. Le chercheur s’est également essayé à la compromission de Google Chrome, Internet Explorer et Safari sans succès.
Google pour sa part a diffusé une mise à jour Chrome 41.0.2272.101 pour Windows, OS X et Linux. Les notes de version ne sont que partielles et, bien que le lien n’ait pas été fait entre cette miise à jour et le concours Pwn2Own, nous notons que cette diffusion a été faite en marge de l’évènement. Il faut dire que durant l’évènement, Google Chrome n’a enregistré qu’une seule vulnérabilité, contre deux pour Safari, trois pour Mozilla Firefox, Adobe Reader et Flash, 4 pour Internet Explorer et 5 pour Windows.
En parlant des produits Microsoft, ils devraient selon toute vraisemblance, obtenir des correctifs durant le traditionnel Patch Tuesday de Redmond.
Source : blog Mozilla, blog Mozilla, blog Chrome
Mozilla déploie un second correctif pour colmater une faille découverte sur Firefox
Lors du concours Pwn2Own
Mozilla déploie un second correctif pour colmater une faille découverte sur Firefox
Lors du concours Pwn2Own
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !