Prétendu trou de sécurité de Firefox : regardons de plus près

Lu sur le blog de Tristan Nitot sur l'eventul trou de sécurité de notre browser préféré ;)

Certains sites annoncent a tort que Firefox 1.5 a un trou de sécurité critique. Je les invite à vérifier leurs sources et à lire ce qui suit, qui est publié par Mozilla. Je pense qu'un rectificatif de leur part s'impose.

Long-title temporary startup unresponsiveness

Web pages with extremely long titles (the posted proof of concept used 2.5 million characters) can cause Mozilla Firefox and the Mozilla Suite to appear to "hang" on startup when reading the browsing history data. The browser will eventually continue normally although this can take up to several minutes on a slower computer. The unresponsive starts will continue until the item with the long title is removed from the history file or eventually expires.

We have investigated this issue and can find no basis for claims that variants of this denial-of-service attack can cause an exploitable crash, and no evidence for this claim has been offered. There does not appear to be any risk to users or their computers beyond the temporary unresponsiveness at startup.

En voici la traduction :

Manque de réaction temporaire au démarrage pour les titres longs''

Les pages Web avec des titres extrèmement longs (le test publié utilisait 2,5 millions de caractères) peut faire que Firefox et la suite Mozilla semblent ne plus fonctionner au démarrage alors qu'ils sont en train de lire l'historique de navigation. Le navigateur finira par fonctionner normallement, même si cela peut prendre plusieurs minutes sur un ordinateur lent. La lenteur au démarrage persistera tant que le titre long n'aura pas été retiré du fichier de l'historique, ou tant qu'il n'aura pas expiré.

Nous avons mené des recherches sur ce problème et nous pensons qu'il n'y a pas de raison d'affirmer que des variantes de cette attaque par déni de service peut provoquer un plantage qui pourrait être exploité, et nous n'avons pas eu la preuve de cette affirmation. Il ne semble pas y avoir de risque pour les utilisateurs au delà du manque de réactivité au démarrage.

Personnelemnt j'ai eu à tester le code et ma machine à ramer je l'avoue en me marquant une adresse de site assez longue, j'ai même du avoir recours au gestionnaire de tâches pour l'arrêter, mais aprés redémarrage de firefox, plus de blem ;)
Donc continuons à avoir confiance pour freiner l'emprise IE!

Un code pour faire planter son Firefox???

Voici un article que j'ai lu pour vous sur pcastuces: annonçant une faille sur notre navigateur favori!

Alors que le navigateur frappé d’un panda roux et connu pour être plus sûr que son homologue de Redmond, une faille vient d’être découvert touchant ainsi tout spécialement le logiciel de la fondation Mozilla.

Certes, ce n’est pas une faille de sécurité et personne ne devrait prendre le contrôle de votre machine pour l’instant, même si certains le prédisent, mais ce genre d’incident est assez rare sur Firefox pour qu’on en parle. Le code, que vous trouverez en bas de cette actualité a pour but de créer un sujet pour page Web extrêmement long qui apparaîtra en parti sur l’onglet de la page visionné. Sur le moment, rien ne se passe, mais une fois Firefox fermé, il sera impossible de le lancer à nouveau sans qu’il crash. Bref, le panda n'apprécie vraiment pas les titres trop long.

Sachez que pour résoudre le problème, il vous suffit d’effacer le fichier « history.dat » présent dans le répertoire Documents and Settings(user)Application DataMozillaFirefox(votre profile).

• Exemple de code pouvant bloquer Firefox :
  

script type="text/javascript"

function ex() {
var buffer = "";
for (var i = 0; i < 5000; i++) {
buffer += "A";
}
var buffer2 = buffer;
for (i = 0; i < 500; i++) {
buffer2 += buffer;
}
document.title = buffer2;
}

/script

Pour information, sachez que cette faille touche aussi les linuxiens.

• Visitez le site qui bloquera votre Firefox (il faut cliquer sur "Proof of Concept")

La "Google Toolbar" dope Firefox !

Lu sur caloga.com de la période du 1er au 15 décembre 2005:

La presse spécialisée dans son ensemble a salué l'arrivée du navigateur Firefox, et fait un éloge unanime de ce logiciel dont le succès fut explosif : en moins de 13 mois, plus de 110 millions de téléchargements, 11% de part de marché mondiale, 14% aux Etats-Unis, 15% en Europe ! La réussite de Firefox tient à la fois à ses qualités propres (tout le monde reconnaît son avance technologique) et aux failles de sécurité de son principal adversaire, Internet Explorer 6.

Mais la véritable révolution apportée par Firefox, peu remarquée par les observateurs, se trouve sans doute ailleurs. Depuis quelques jours, le navigateur peut être téléchargé directement dans une version qui intègre la barre d'outils de Google (ou "Google Toolbar"). Nous avons le plaisir de vous proposer le lien de téléchargement vers cette version nommée "Firefox incluant la barre d'outils Google", aujourd'hui réservée aux utilisateurs de Windows.

Cette fonctionnalité supplémentaire s'avère bien sûr séduisante pour les internautes. Elle traduit également une alliance stratégique de fait entre Google et un des acteurs majeurs du logiciel libre, la Mozilla Organization. Microsoft se doit de réagir avec un sans-faute sur la sortie prochaine d'Internet Explorer 7. Mais force est de constater que Firefox vient de prendre un temps d'avance dans la partie d'échecs qui l'oppose à IE.