Grossière attaque contre Firefox
Pour qui ou pour quoi roulent donc Mischa Spiegelmock et Andrew Wbeelsoi, quand ils diffusent à tous vents leur découverte : une vulnérabilité inattendue de Firefox, à un moment d’ailleurs où on parle de la relative supériorité de Firefox dans le domaine de la sécurité ?
La description est précise, et prise au sérieux. Quand le navigateur gère du code Javascript, dans un « fouillis total », disent-ils, « impossible à patcher », on peut exploiter une faille pour prendre le contrôle de l’ordinateur qu’on cible au moment d’une visite de page Web piégée, et installer tout ce qu’on veut ensuite -botnets et tous logiciels publicitaires... Toutes les plate-formes supportées par Firefox (Windows, MacOS X et Linux) apparaissent vulnérables. De plus, les pirates annoncent près de trente failles supplémentaires.
C’est à l’occasion de la conférence ToorCon à San Diego les deux « hackers »
ont exposé leur découverte.
Le problème, c’est, selon la directrice de la sécurité chez
Mozilla, qu’ils ont donné « assez d’informations dans
leur présentation pour qu’un attaqueur la reproduise ». Et elle ajoute :
« Je pense qu’il est malheureux que les utilisateurs soient ainsi exposés
au risque, mais il semble que cela ait été leur but. » La fondation
reconnaît dans la faille une variante d’un ancien problème, dont la résolution
nécessitera plus de temps qu’un patch ordinaire.
Misha Spiegelmock, qui travaille chez Six Apart, répète partout combien
Firefox n’est pas sûr. A cette adresse,
on peut lire sa déclaration de bonnes intentions :
I
have not succeeded in making this code do anything more than cause a crash and
eat up system resources, and I certainly haven’t used it to take over anyone
else’s computer and execute arbitrary code.
I
do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this
claim. I have no undisclosed Firefox vulnerabilities. The person who was
speaking with me made this claim, and I honestly have no idea if he has them or
not.
I
apologize to everyone involved, and I hope I have made everything as clear as
possible.
Il aura du mal à convaincre.