Discussion :

[Idelways]

Mozilla colmate en 48 heures la faille de Firefox 3.5 et 3.6
Exploitée depuis le site du Nobel de la Paix

Mise à jour du 29/10/10


Il n'aura fallu que 48 heures à la Fondation Mozilla pour publier un correctif de sécurité suite à la découverte d'une faille dans son navigateur qui permettait une prise de contrôle de la machine attaquée.

La faille était exploitée depuis le site du Prix Nobel de la Paix, site qui avait lui-même été mystérieusement piraté.

Firefox était le seul navigateur visiblement touché par cette attaque (lire ci-avant).

Aujourd'hui, la Fondation vient de sortir deux patchs, un pour chacune des deux versions de Firefox (3.5 et 3.6) touchées par l'exploit.

Tout est donc rentré dans l'ordre.

Coup de chapeau pour une vitesse de réaction aussi rapide ?

MAJ de Gordon Fowler



Firefox : une faille Zero Day permet la prise de contrôle de l’ordinateur
A partir du site prix Nobel de la paix, des analystes y voient la main de Pékin



Selon une firme de sécurité norvégienne, des hackers exploitent une faille sur le navigateur Firefox permettant de prendre le contrôle des ordinateurs qui visitent le site officiel du Nobel de la Paix.

La fondation Mozilla a confirmé cette faille et l'a qualifiée de critique. Elle touche les versions 3.5 et 3.6 de son navigateur.

Selon la compagnie Norman ASA, le site du célèbre Prix « nobelpeaceprize.org » a tout d'abord subi une attaque qui a permis d'injecter un iframe pointant vers un serveur malicieux.

Ce serveur délivre ensuite une variété d'exploit ciblant (et c'est une première) exclusivement le navigateur Firefox. Un des exploits est la prise de contrôle à distance de Firefox 3.6.11.

Pour forcer l'installation d'un malware, les attaquants exploitent une faille de type « situation de compétition » (en anglais « race condition »). Une attaque complexe qui joue sur l'ordre d'exécution des instructions, un ordre qui permet d'obtenir des résultats différents.

L'exécutable Windows malicieux qui est ainsi installé essaye alors d'interroger plusieurs adresses internet.

Si l'une d'entre elle répond, le malware lance un Shell sur le socket ainsi ouvert, et donne à l'attaquant l'accès à l'ordinateur de sa victime avec les mêmes droits que l'utilisateur identifié.

Mozilla assure qu'un patch est en cours de préparation pour colmater cette faille.

En attendant, l'installation de l'extension NoScript est recommandée pour restreindre l'exécution de JavaScript aux sites de confiance.

Plusieurs analystes voient clairement la main de Pékin dans cette affaire.

Cette attaque survient 3 semaines seulement après que le dissident chinois Liu Xiaobo (qualifié de « criminel » par Pékin), ait été sacré prix Nobel de la paix 2010.


Source : le communiqué de presse de Norman ASA, et les détails sur le malware sur le site de Norman ASA

Et vous ?

Qui est selon-vous derrière cette attaque ?
Un malware qui ne cible que Firefox n'est-il pas un signe de reconnaissance pour Mozilla ?

En collaboration avec Gordon Fowler

[sevyc64]

Plusieurs analystes voient clairement la main de Pékin dans cette affaire.

Ce serveur délivre ensuite une variété d'exploit ciblant (et c'est une première) exclusivement le navigateur Firefox.

Pekin a-t-il un quelconque intérêt à ne cibler que Firefox ?

Si oui, alors on peut effectivement se poser la question.

Si non, le fait que seul Firefox soit ciblé écarte donc la thèse de Pekin contre le prix nobel.

Bizarrement si c'est Pekin à l'origine, ça ne cible pas Chrome et Chromium, pourtant Pekin et Google, c'est pas l'amour charnel en ce moment me semble-t-il

[grafikm_fr]

Qui est selon-vous derrière cette attaque ?

Évidemment, les "chinois du FBI" (c) Les guignols

[Flaburgan]

Peut être que l'attaque ne cible que Firefox car ils n'ont pas trouvé de failles équivalentes dans les autres navigateurs. Je ne vois en aucun cas un intérêt de faire une attaque uniquement sur un navigateur particulier, sauf quand on souhaite ternir l'image de ce navigateur là.

(mais non, c'est le gamin de douze ans aux US ! après avoir empoché 3000$, il a décidé de s'amuser avec les autres failles découvertes )

[bugsan]

A quand un article "Stuxnet, la main de Washington ?"

[Floréal]

Qui est selon-vous derrière cette attaque ?
Je ne vois ni corrélation ni relation de cause à effet entre cette exploitation et l'éventualité qu'elle ait Pékin pour origine. Je ne sais pas. Pourquoi pas Microsoft tant qu'on y est?

Un malware qui ne cible que Firefox n'est-il pas un signe de reconnaissance pour Mozilla ?
Pourquoi pas. J'y vois plutôt un signe de faiblesse du navigateur, qui sera probablement vite corrigée prochainement.

[MadScratchy]

Un malware qui ne cible que Firefox n'est-il pas un signe de reconnaissance pour Mozilla ?

Il ne faudrait quand même pas aller jusqu'à dire qu'une faille dans Firefox est un signe de reconnaissance.

En tout cas chez Mozilla, ils ne vont pas faire péter le champagne

[sevyc64]

Je ne vois ni corrélation ni relation de cause à effet entre cette exploitation et l'éventualité qu'elle ait Pékin pour origine. Je ne sais pas. Pourquoi pas Microsoft tant qu'on y est?

La relation avec Pekin est que le point d'attaque de cette faille est le site du Prix Nobel de la Paix qui a été piraté à cette fin quelques heures auparavant, que le Prix Nobel de la Paix, cette année a été attribué à un dissident chinois, en prison depuis plusieurs mois, considéré par le pouvoir en place comme ennemie à la nation, et que Pekin a justement violemment réagit à cette nomination, la qualifiant de telle sorte que l'on pourrait presque interpréter qu'ils la considère comme une déclaration de guerre.

Mais reste le lien avec Firefox ????

[Invité]

En attendant, l'installation de l'extension NoScript est recommandée pour restreindre l'exécution de JavaScript aux sites de confiance.

Le blocage des iframe n'est pas par défaut, ni l'application des règles de sécurité aux sites de confiances. NoScript mal configuré ne changera rien, hélas.

[GeoTrouvePas]

Pekin a-t-il un quelconque intérêt à ne cibler que Firefox ?

Moi j'ai pas l'impression que ça soit Firefox que Pékin vise mais tout simplement la Fondation Nobel en la décribilisant par l'intermédiaire de son site.

Le fait que ça ne vise que Firefox, c'est peut être tout simplement dû au fait que les Chinois n'avait pas 36 failles Zéro Day en stock pour cibler leur attaque... Il a malheureusement fallu que ça tombe sur une faille de Firefox.

Concernant Google, Pékin se méfie surtout qu'ils ne foutent pas le bordel à l'intérieur de la Chine, ce qui n'est pas grand chose face à la fondation Nobel qui pointe du doigt la Chine sur la scène internationale...

[Gordon Fowler]

Mozilla colmate en 48 heures la faille de Firefox 3.5 et 3.6
Exploitée depuis le site du Nobel de la Paix

Mise à jour du 29/10/10


Il n'aura fallu que 48 heures à la Fondation Mozilla pour publier un correctif de sécurité suite à la découverte d'une faille dans son navigateur qui permettait une prise de contrôle de la machine attaquée.

La faille était exploitée depuis le site du Prix Nobel de la Paix, site qui avait lui-même été mystérieusement piraté.

Firefox était le seul navigateur visiblement touché par cette attaque (lire ci-avant).

Aujourd'hui, la Fondation vient de sortir deux patchs, un pour chacune des deux versions de Firefox (3.5 et 3.6) touchées par l'exploit.

Tout est donc rentré dans l'ordre.

Coup de chapeau pour une vitesse de réaction aussi rapide ?

[Hellwing]

Excellente réactivité.

Cependant je ne pourrais pas en profiter car depuis la version 3.6.9 (voir même un peu avant) Flash me fait planter Mozilla une fois sur 2, donc je ne peux pas faire de mise à jour sans rendre Firefox instable (et flemme de changer complètement de navigateur juste pour ça).

[Anomaly]

Oui, excellente réactivité. Supérieure à ce que fait Microsoft et largement supérieure à ce que fait Adobe. Bon boulot.

Cependant je ne pourrais pas en profiter car depuis la version 3.6.9 (voir même un peu avant) Flash me fait planter Mozilla une fois sur 2

Je n'ai pas de soucis particulier avec Flash et j'ai plutôt tendance à penser que le problème viendrait de Flash en lui-même plutôt que de Firefox.

[Flaburgan]

Bien joué

Par contre, ça c'est du sujet à troll =P

[Hellwing]

Oui, excellente réactivité. Supérieure à ce que fait Microsoft et largement supérieure à ce que fait Adobe. Bon boulot.


Je n'ai pas de soucis particulier avec Flash et j'ai plutôt tendance à penser que le problème viendrait de Flash en lui-même plutôt que de Firefox.

C'est ce que j'ai aussi pensé, mais même en mettant Flash à jour après la mise à jour de Firefox ça n'a rien changé. Bon, en même temps je suis sous Vista depuis 3 ans (mais je n'ai eu aucun problème jusque là)

[FailMan]

Par contre, ça c'est du sujet à troll =P

Pas forcément, je suis sous Chrome, je ne suis pas grand fan de Firefox mais cela ne m'empêche pas de reconnaître que 48 heures pour colmater une faille c'est vraiment rapide , et ça prouve le sérieux de la fondation et du navigateur, placé sur un marché devenu très concurrentiel, ils se doutent bien qu'ils ne peuvent plus se permettre de prendre leur temps face à ce genre de problèmes.

[Neko]

Pas forcément, je suis sous Chrome, je ne suis pas grand fan de Firefox mais cela ne m'empêche pas de reconnaître que 48 heures pour colmater une faille c'est vraiment rapide , et ça prouve le sérieux de la fondation et du navigateur, placé sur un marché devenu très concurrentiel, ils se doutent bien qu'ils ne peuvent plus se permettre de prendre leur temps face à ce genre de problèmes.

C'est une faille qui a été médiatisé, donc assez loin d'un cas général. Dans le cas d'une médiatisation, les éditeurs se bougent généralement pour corriger.

[trenton]

Pas forcément, je suis sous Chrome, je ne suis pas grand fan de Firefox mais cela ne m'empêche pas de reconnaître que 48 heures pour colmater une faille c'est vraiment rapide , et ça prouve le sérieux de la fondation et du navigateur, placé sur un marché devenu très concurrentiel, ils se doutent bien qu'ils ne peuvent plus se permettre de prendre leur temps face à ce genre de problèmes.

Pourquoi, avant ils étaient lents ? (c'est en tout cas ce que ton message laisse deviner). Tu as des sources, pour dire qu'avant c'était lent ?

[FailMan]

Pourquoi, avant ils étaient lents ? (c'est en tout cas ce que ton message laisse deviner). Tu as des sources, pour dire qu'avant c'était lent ?

Encore un troll ?
Non je n'ai pas dit qu'ils étaient lents, mais qu'avant on pouvait se permettre un peu plus de latence. Quand il y avait IE vs. FF (pas encore de Chrome et un Safari présent que sur Mac), à mon avis les failles n'étaient pas corrigées en 48 heures. Ceci dit, cela reste pure spéculation, à toi de me démontrer le contraire maintenant, si bien sûr tu en as envie.

[air-dex]

Innovation, réactivité : on dirait que Mozilla retrouve toutes ses qualités à l'approche de Firefox 4.