Firefox 1.5 rencontre sa première faille de sécurité

Cloud

Découverte début décembre, la première vulnérabilité du navigateur de la Fondation Mozilla interdit le redémarrage de l’application.

Ce n’était qu’une question de temps : la première faille de sécurité du tout récent Firefox 1.5, lancé par la Fondation Mozilla fin novembre (voir édition du 29 novembre 2005), a été découverte. Elle tient en quelques lignes de code Javascript dont le chargement dans une page Web suffirait à interdire le redémarrage du navigateur. Une vulnérabilité handicapante mais qui n’implique pas la sécurité du reste de la plate-forme.

C’est un certain Ziplock qui, le 5 décembre dernier a priori, a démontré la pertinence du concept (proof of concept) sur le site Packetstormsecurity.org. Information aussitôt commentée le 8 décembre par l’Internet Storm Center (ISC). « Cette vulnérabilité a été testée [sous Windows XP SP2] et fonctionne, et aucun correctif n’est disponible pour le moment », écrit John Bambenek.

Désactiver l’historique de navigation

La faille est imputable à la gestion des historiques de navigation qui provoque une sorte de débordement de mémoire tampon entraînant un déni de service (denial of service). « Si l’en-tête de la page est construit de manière assez longue, cela plante le navigateur à chaque démarrage », précise John Bambenek. Il suffirait de supprimer manuellement le fichier History.dat pour libérer le navigateur. Autre astuce : fixer à 0 le nombre de jours que Firefox doit conserver dans l’historique de la navigation (menus Outils > Options > Vie privée > Historique). Auquel cas, il faudra naturellement se passer de la mémoire des sites visités.