Juillet : une faille par jour pour les navigateurs

Un certain HD Moore, qui n'a rien à voir avec la fameuse loi éponyme, a décidé début juillet de publier un blog dans lequel il s'engage à divulguer une faille de sécurité relative à un navigateur Web par jour. Aucun système d'exploitation n'est épargné et tous les navigateurs les plus courants se font épingler. La palme revient pour l'instant à Internet Explorer 6 mais Firefox ou Safari ne sont pas en reste. Aujourd'hui, la sécurité est l'un des arguments marketing de prédilection des éditeurs de navigateurs.
Moore et quelques-uns de ses collègues ont mis au point plusieurs outils de détection de failles de sécurité qui reposent sur la technique du « fuzzing ». Le principe est simple : on envoie, manuellement ou automatiquement, une série de requêtes et de données plus ou moins aléatoires à une application afin d'en étudier le comportement dans une situation qui n'a pas été prévue par ses concepteurs. Dès qu'une anomalie est détectée, on retrouve les paramètres qui ont été utilisés pour la provoquer et on tente de comprendre l'éventuelle faille liée.
Après avoir passé au crible les principaux navigateurs du marché, le verdict est sans appel : « Nous pourrions probablement en révéler un par jour pendant les deux années et demi à venir avant de tomber à court de bugs », indique Moore. Histoire de donner un peu d'éclat à ses travaux et de sensibiliser encore un peu plus les éditeurs aux questions relatives à la sécurité, il décide donc de lancer un blog, ironiquement baptisé « Browser Fun », sur lequel il s'engage à publier, durant 31 jours, quelques unes des failles découvertes, accompagnées de la portion de code suffisante pour démontrer l'existence de la faille sans permettre l'exploitation malveillante de cette dernière.
Hier, 11 juillet, a par exemple été publiée la faille numéro 12, qui concerne Internet Explorer. Intitulé « Month of Browser Bugs », le projet de Moore peut être consulté sur le blog dédiée, Browser Fun.

Lire cette brève sur le site

:MDR:
Y'en a qui ont de l'humour, mais je ne sais pas si les éditeurs vont vraiment rigoler ;)

EDIT:
je viens de voir que certains bugs (Fx) sont corrigés aujourd'hui !!

The following bug was tested on Mozilla Firefox 1.5.0.2 running on Gentoo Linux. This bug was fixed in Firefox 1.5.0.3, after three other people reported this issue to Mozilla. This bug results in a function pointer being called that no longer exists on the heap. Exploiting it is more annoying than difficult, since getting user-provided memory to map over the free'd object pointer is more convoluted than it should be.

document.designMode = "on";
for (i=0; i < 300; i++) {
document.execCommand("InsertHTML", false, "<iframe src='localhost'/>");
}
document.designMode = "off";
window.location.reload(true);

Demonstration

EIP on Gentoo Linux / Firefox 1.5.0.1
0x00737069 in ?? ()

This bug was addressed in MFSA2006-30.
This bug has been added to the OSVDB:
Mozilla Firefox iframe.contentWindow.focus() Overflow

Donc le pari est déjà perdant!

En fait la plus part des failles concernent IE6, ont été rapportées à MS, et ne sont pas fixées.

12 failles révélées

10 failles Internet Explorer non corrigées
1 faille Safari non corrigée
1 faille Firefox corrigée.

Et bien, voilà qui promet....

Celà nous amène à nouveau à nous interroger sur la soit disant "qualité de la sécurité" des paiements en ligne avec les navigateurs.

Je me rappelle avoir vu un reportage à la TV d'une nana américaine qui travaillait dans un service de lutte contre la cybercriminalité.

Cette femme avait littéralement dit qu'elle ne donnerait jamais son numéro de CB sur le net.

Ce n'est certainement pas sans raison... :sarcastic:

ActiveX serait-il un nid à bugs ?!?

Si au moins il les corrigeait...

:clap:
Ca donnera moins de travail aux chercheurs et developpeurs des editeurs.

ouaybe a écrit:
ActiveX serait-il un nid à bugs ?!?

Noooooon, pas possible... on m'aurait menti ? :paf:

En tout cas, je trouve leur paris bien prétencieux, ils ont intérêt à être plus convaincant par la suite. Parceque, sortir des failles déjà découverte, hum hum... :riva:

v_atekor a écrit:
:MDR:
Y'en a qui ont de l'humour, mais je ne sais pas si les éditeurs vont vraiment rigoler ;)

EDIT:
je viens de voir que certains bugs (Fx) sont corrigés aujourd'hui !!

Donc le pari est déjà perdant!

En fait la plus part des failles concernent IE6, ont été rapportées à MS, et ne sont pas fixées.

12 failles révélées

10 failles Internet Explorer non corrigées
1 faille Safari non corrigée
1 faille Firefox corrigée.

Elle ne l'était pas quand il les as publié.. et c'est d'ailleurs peut être lui qui leur a mis la puce à l'oreille..

Avec IE, ils sont certains de tenir des années :MDR

En même temps c'est toujours plus facile de découvrir des failles, surout avec ces méthodes de recherches systématiques, que de les corriger ou d'écrire un programme qui en soit dépourvu c'est pour ça qu'on voit fleurir ce genre de stupidité mais que curieusement on ne voit toujours pas de softs sans bugs.
Si il est si malin le gars il n'a qu'a coder un navigateur lui même, de préférence dépourvu de bugs pour éviter de passer pour une cloche :ane:
Ca deviend lourd ces mecs dont la seule passion dans la vie est de baver sur le travail des autres alors qu'eux seraient très certainement incapables de faire mieux, voir même simplement d'en faire autant (sans prendre partie pour aucun des navigateurs cités)

Paul-Hewson:
Si elle l'étaient.

La publication du blog est de Juillet, et la correction date de Firefox 1.5.3 donc ...
D'après le site de mozilla et le blog, trois personnes ont rapporté cette faille sur Fx 1.5.2

sur 10 failles de IE 9 concerne l'utilisateion des active X...
Lorsqu'on se frote a des technologies qui sont plus evolués que l'affichage d'image, et de texte, il n'est pas étonnant d'ouvrir des portes aux failles de sécuritées...
Comme qui dirait.. "Il n'y a que ceux qui ne font rien qui ne font jamais d'erreur"

je viens de voir que certains bugs (Fx) sont corrigés aujourd'hui !!

Donc le pari est déjà perdant!

Le paris n'est pas d'avoir 31 failles non corrigés a la fin du mois mais de découvrir un faille par jour...

Cette femme avait littéralement dit qu'elle ne donnerait jamais son numéro de CB sur le net

Perso, si je devait recuperer le code d'un carte banquaire j'ai 2 solutions :
- Passer des jours et des nuits a essayer de cracker la sécurtité d'un site de paiment en ligne, et en même temps effacer les traces de mon action
- Descendre dans la rue, savater la première petite vieille qui passe et lui piquer son sac (de tout façon elle avait qu'a pas sortir par cette chaleur)

J'ai 100 fois plus confiance dans la sécurité de la boutique en ligne que dans le guichetier a qui je donne ma CB pour payer le péage de l'autoroute...

guinnessman a écrit:

Ca deviend lourd ces mecs dont la seule passion dans la vie est de baver sur le travail des autres alors qu'eux seraient très certainement incapables de faire mieux, voir même simplement d'en faire autant (sans prendre partie pour aucun des navigateurs cités)

+1


surtout qu'il a bug et bug. Un programme n'a jamais ete fait pour repondre à un envoi aleatoire de requetes ou de donnees. Qu'il ne se comporte pas toujours parfaitement normalement c'est une chose mais ce n'est pas forcement un bug dans la mesure ou il n'y a pas gene pour l'utilisateur.

Ils sont marrants les gens mais quand on developpe un programme on ne peut pas envisager toutes les situations à venir....

guinnessman a écrit:
Ca deviend lourd ces mecs dont la seule passion dans la vie est de baver sur le travail des autres alors qu'eux seraient très certainement incapables de faire mieux, voir même simplement d'en faire autant (sans prendre partie pour aucun des navigateurs cités)

...peut etre son travail ! oui, des gens sont payes a surveiller le travail des autres ! sisi ! veridique : flic, controleur fiscal, critique cinema..., controleur de gestion, responsable et petit chef en tout genre... ! :heink:

revlis: en fait ce que je voulais dire est que la faille était déjà corrigée à lors de la publication sur le blog ...

Mouaih.
Ca sent quand meme le mec qui veut vendre son produit ou se vendre lui meme.

Franchement, je n'aime pas ce genre de comportements.

En même temps...le code de Firefox est ouvert, je me demande s'il se complique pas un peu la vie. Quoi que pour comprendre le code et son architecture...

guinnessman a écrit:
Ca deviend lourd ces mecs dont la seule passion dans la vie est de baver sur le travail des autres alors qu'eux seraient très certainement incapables de faire mieux, voir même simplement d'en faire autant (sans prendre partie pour aucun des navigateurs cités)

Ouais, comme tous ces gars qui crachent sur Zidane ou son acolyte italien alors qu'ils sont incapables de jouer au niveau mondial... :paf:

Moi c'est ce genre de réflexion que je trouve débile... T'es pas obligé de savoir faire aussi bien, ou mieux, pour juger de la qualité d'un travail.
Sinon, le monde serait beau, on serait débarrassé de 99% des trolls sur internet, donc 98% sont sur le sujet Windows... :neutre:

BetaGamma a écrit:
Franchement, je n'aime pas ce genre de comportements.

Moi je trouve ça très sain... Flambeur certes, mais sain. Au moins y'a de la pub autour des vulnérabilités, et on est loin de la pub "Firefox sans faille".
ça démontre que Firefox est plus sécurisé que IE 6, mais aussi qu'il n'est pas infaillible :)

RuTT a écrit:
En même temps...le code de Firefox est ouvert, je me demande s'il se complique pas un peu la vie. Quoi que pour comprendre le code et son architecture...

Tu as déjà essayé de prendre en main un code de plusieurs milliers de lignes pour trouver des failles qui parfois se trouvent dans l'inversion de 2 caractères ? :pt1cable:

ouaybe a écrit:
ActiveX serait-il un nid à bugs ?!?

on parle de moi :ane: :MDR :ane:

Predicator a écrit:
Tu as déjà essayé de prendre en main un code de plusieurs milliers de lignes pour trouver des failles qui parfois se trouvent dans l'inversion de 2 caractères ? :pt1cable:

'Bien ce que je dis.