Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Mozilla introduit une nouvelle mesure de sécurité afin de mieux protéger les internautes

mars 2012 par CERT-XMCO

* Address Space Layout Randomization now mandatory for binary components

- Date : 07 Mars 2012

- Criticité : Moyenne

- Exploitation : Avec une page web malicieuse

- Dommage : Accès au système

- Description :

Dans un message posté il y a quelques jours par un développeur de Firefox, Mozilla annonce la mise en place, prochainement, d’une solution visant à interdire l’exécution des modules additionnels (DLL XPCOM) non protégés par l’ASLR.

En effet, l’ASLR, cette fonction permettant de protéger un programme contre l’exploitation de ses failles, n’est pas du ressort direct du développeur. Celle-ci est en effet liée au processus de compilation du programme. Pour protéger un programme, il suffit normalement au développeur d’activer le support de cette fonction au sein de son environnement de développement.

Le support de l’ASLR avait été activé il y a un certain temps pour protéger l’ensemble des logiciels développés par Mozilla, mais ceux-ci étaient connus pour être vulnérables à des attaques détournées. En demandant au navigateur de charger certains modules additionnels tels que Flash, Java, VLC ou encore bien d’autres, qui, eux, ne sont pas forcément protégés de la même manière, un pirate était en effet en mesure d’exploiter des failles présentes au sein de Firefox, malgré que le support de l’ASLR soit activé au sein de ce dernier. Résultat, le support de l’ASLR au sein des produits Mozilla était souvent considéré par les chercheurs en sécurité comme peu efficace pour limiter l’exploitation des vulnérabilités.

Avec la mise en place de cette nouvelle fonction de sécurité, les produits Mozilla seront en mesure de vérifier que les composants additionnels qu’une page Internet demande au navigateur de charger supportent bien l’ASLR. Si tel n’était pas le cas, le navigateur refuserait alors de les exécuter, empêchant par la même les pirates d’exploiter simplement certaines failles de sécurité présente au sein des logiciels Mozilla.

Pour le moment, cette fonction de sécurité n’a été ajoutée que pour Windows, et devrait être disponible dans la prochaine version 13 de Firefox. Espérons que les développeurs de Mozilla n’oublieront pas de programmer le support des autres logiciels Mozilla, ainsi que celui des autres plateformes (Linux, Mac OS x, ...).

- Référence :

http://blog.kylehuey.com/post/18120...

https://bugzilla.mozilla.org/show_b...

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/...




Voir les articles précédents

    

Voir les articles suivants