Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Sunday 1 October 2006
0 comment(s) | Subnetwork France

Il y a des karmas difficiles. Celui de Window Snyder, par exemple, qui a récemment quitté son poste au sein de l'équipe sécurité Windows chez Microsoft pour devenir responsable de la sécurité du navigateur libre Firefox. Si elle a pensé avoir fait le bon choix à la vue de la série de failles gravissimes qui ont frappé Internet Explorer ces derniers temps, son répit n'aura été que de courte durée. Selon deux hackers, l'interpréteur Javascript du navigateur libre permettrait de provoquer un dépassement de mémoire tampon exploitable. Il serait ainsi possible, tout comme Internet Explorer, d'installer n'importe quoi sur l'ordinateur à la seule visite d'un site web piégé. Toutes les plates-formes supportées par Firefox (Windows, MacOS X et Linux) sont vulnérables. Une présentation statique de l'attaque a été faite durant la conférence Toorcon de San Diego. Plusieurs membres de l'équipe sécurité de Firefox y assistaient, dont leur responsable Window Snyder. Selon elle, la vulnérabilité ressemble à une variante d'une autre, déjà corrigée. Et d'ajouter que si c'est le cas, le patch ne sera pas facile à réaliser. Une estimation que semble partager les pirates, pour qui l'implémentation de Javascript dans Firefox est "un fouillis total, impossible à patcher". Les deux hackers ont tenus à présenter leur découverte sans avertir la Fondation Mozilla. Et même l'intervention d'un technicien de la fondation, sur scène, aura été inutile. Ce dernier leur aura pourtant rappelé que la Fondation Mozilla offre 500 dollars pour chaque vulnérabilité révélée. Sans effet. Les pirates, qui affirment disposer d'une trentaine de vulnérabilités du même ordre, ont préféré en faire cadeau à la communauté dite "Black Hat", celle des hackers aux motivations les moins éthiques. Une fois reproduites, ces vulnérabilités seront donc probablement utilisées pour l'installation de bots et autres logiciels publicitaires sur le ordinateurs des utilisateurs de Firefox.