* Critical vulnerability in Firefox 3.5 and Firefox 3.6

– Date : 27 Octobre 2010

– Plateforme : Toutes

– Gravité : Elevée

– Exploitation : Avec une page web malicieuse

– Dommage : Accès au système

– Description :

Le CERT-XMCO révélait hier l’existence d’une vulnérabilité de type 0day exploitée dans la nature sur le site du Prix Nobel (voir CXA-2010-1469).

Aujourd’hui, Mozilla annonce avoir pris connaissance de cette faille, et être en train de travailler à la correction de celle-ci. La référence CVE-2010-3765 lui a par ailleurs été attribuée.

Une preuve de concept permettant de corrompre la mémoire d’un système via l’utilisation de la méthode "document.write()", permettant ainsi à un pirate de contrôler la valeur contenue dans le registre EIP du processeur a été publiée sur Internet par les développeurs de Mozilla. Un correctif serait déjà disponible dans le code source de Firefox, mais aucune version stable testée n’a pas encore été publiée.

En attendant la sortie du correctif, il est conseillé de désactiver le support du JavaScript, ou utiliser une extension telle que NoScript permette de se protéger contre l’exploitation de cette vulnérabilité.

– Référence :

http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1469

– Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3765

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1478