IE7 et Firefox 2.0 : les chasseurs de ‘bugs’ se font la course

Après la découverte d’une
première
faille dans IE7, c’est au tour de Firefox de passer sur le grill

En début de semaine les chasseurs de bugs ont revendiqué la découverte de deux failles dans le très populaire navigateur. Mais, Mozilla conteste la dangerosité de deux failles décelées dans Firefox 2.0

Une découverte qualifiée de « bruit » par le chef de la sécurité de Firefox, Window Snyder, « ces failles ne représentent aucun risque pour les utilisateurs ».

La première faille concerne une vulnérabilité corrigée dans les versions précédentes de l’application. Un rapport publié sur la mailing list de Bugtraq suggère que cette porte dérobée classé « critique » lors de sa première apparition a refait surface dans Firefox 2.0.

Seulement, Snyder conteste la publication de Bugtraq expliquant que « ces vulnérabilités ont été identifiées et corrigées. »

Toutefois un autre bug soulève plus de questions. Selon Bugtraq, il pourrait entraîner le crash de Firefox. Snyder a expliqué : « Les exploits ont tous été corrigé. Il est vrai qu’il y a un risque de crash mais il ne s’agit que d’un déni de service. Nos équipes travaillent déjà sur la question et ce bug ne représente pas un gros risque. »

Une autre publication suggère qu’une faille dans Firefox 2.0 pourrait être exploitée par des scammeurs. Le document présente une partie du code en question, mais Mozilla estime que cela est insuffisant pour savoir s’il y a véritablement un problème le risque existe bien.

Snyder a déclaré : « Nous n’avons pas assez d’information pour identifier le problème. si nous obtenons plus d’informations alors nous mènerons une enquête. »

Firefox 2.0 a été annoncé mardi 24 octobre, une semaine après la sortie de IE7. Les deux navigateurs intègrent de nouvelles fonctionnalités notamment dans le domaine de la sécurité, comme un filtre anti-phishing permettant de se protéger des faux sites.

Mike Schroepfer, vice-président de l’ingénierie de Mozilla :« La 2.0 est la version la plus avancée de Firefox depuis le lancement du navigateur alternatif. »

Reste que pour Snyder : « nous encourageons les chasseurs de bugs a chercher des failles dans l’application. Mais les bugs découverts ne doivent pas être rendus publique. C’est une très bonne chose que des spécialistes de la sécurité cherchent des failles dans Firefox cela accélère la protection de nos utilisateurs ».

Déjà 3 millions de téléchargements pour IE7 En quatre jours, la nouvelle mouture d’Internet Explorer, la 7 a passé le cap des trois millions de téléchargement.Bien entendu Microsoft espère que ce chiffre va continuer de progresser du moins jusqu’à ce que le groupe lance le programme de mise à jour automatique qui doit commencer d’ci quelques semaines, le temps pour les entreprises de préparer le terrain.Ce délai s’explique par la volonté de Microsoft de permettre aux intérgateurs de tester la compatibilité d’IE7 avec leurs infrastructure. Des outils sont disponibles sur le blog IE de Microsoft.