Pour gérer vos consentements :
Categories: Sécurité

Une faille critique pour Firefox 3.5 !

Le nouveau moteur JavaScript TraceMonkey intégré à Firefox 3.5 aura été la source de bien des soucis. Des problèmes liés à sa mise au point ont retardé la sortie de ce navigateur web, qui s’est fait ainsi griller la politesse par Google Chrome 2.0 et Apple Safari 4.

Pire, lors de la sortie de Firefox 3.5, nous avons pu constater que TraceMonkey n’arrivait pas à la hauteur de ces deux concurrents et qu’il provoquait même des microcoupures très désagréables dans le fonctionnement du logiciel.

En épilogue à ce triste épisode, une faille critique a été découverte dans TraceMonkey. Celle-ci permet d’exécuter du code sur la machine de l’utilisateur hôte, et donc d’en prendre le contrôle à distance. Un des bogues relevés dès le lancement de Firefox 3.5 est à la source de cette vulnérabilité, qui a été confirmée officiellement hier sur un des blogues de la fondation Mozilla.

Quand l’irresponsabilité entre en jeux

En général, ce genre de faille est classé comme étant « critique ». Hélas, Simon Berry-Byrne fournit un exploit permettant de la mettre en œuvre. Il ne fonctionne aujourd’hui que sous Windows, mais son adaptation aux autres systèmes d’exploitation semble plutôt aisée.

Les règles en vigueur dans le monde de la sécurité suggèrent que les exploits ne soient jamais rendus publics, tant que les développeurs du logiciel touché n’ont pas eu le temps de proposer un correctif.

Nous ne pouvons donc que nous indigner de ce procédé qui met cette vulnérabilité à la portée des script kiddies, une population de bricoleurs écervelés, toujours prompts à prendre le contrôle de vastes parcs de machines dans le seul but de faire la preuve de leur « savoir-faire »… dans le domaine du copier/coller de code (sic.).

En souhaitant profiter d’une éphémère célébrité, Simon Berry-Byrn, use donc d’un procédé plus que critiquable. Les responsables de la fondation Mozilla sont ainsi contraints de précipiter la sortie de Firefox 3.5.1 (initialement prévue pour la fin de ce mois), au risque de laisser passer de grossiers bogues. Dans l’attente, ils proposent une rustine temporaire pour pallier cette fuite d’informations prématurée.

Une seule solution : basculer de TraceMonkey vers SpiderMonkey

Voici le détail de la manipulation permettant de combler cette faille : dans la barre de navigation du logiciel, saisissez « about:config ». Passez la mise en garde de sécurité, puis filtrez la liste en choisissant le terme « jit ». Double cliquez enfin sur la ligne « javascript.options.jit.content » pour passer sa valeur à « false » et redémarrez le navigateur.

Grâce à cette manipulation, Firefox 3.5 utilisera le classique moteur JavaScript SpiderMonkey, qui n’est pas touché par cette faille, mais qui se montre – malheureusement – bien plus lent que TraceMonkey. Notez qu’il faudra effectuer l’opération en sens inverse une fois que vous aurez installé la mise à jour (future) qui corrigera cette vulnérabilité.

Si cette manipulation vous semble trop complexe, lancez le logiciel en« mode sans échec ». Vous ne pourrez alors plus utiliser les modules complémentaires, mais TraceMonkey sera automatiquement désactivé.

Recent Posts

GPT-4o : où, quand et pour qui ?

OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.

2 jours ago

Nom de domaine : Twitter définitivement remplacé par X

Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…

2 jours ago

Microsoft propose une délocalisation hors de Chine à ses ingénieurs IA et Cloud

Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…

2 jours ago

Du « Monde » à Reddit, le point sur les partenariats data d’OpenAI

Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?

2 jours ago

Comment Younited a appliqué la GenAI au crédit conso

Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…

2 jours ago

Processeurs : les États-Unis fabriqueront 30 % des puces avancées d’ici 2032

Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…

3 jours ago