Techno

Faille dans Firefox, plus de peur que de mal?

La presse se fait l'écho de la découverte d'une faille affectant le navigateur alternatif Firefox. Les avis quant à la criticité de la vulnérabilité diffèrent. Qu'en est-il vraiment ?

Publié le 23 mai 2006

Vulnerabilite.com pour SILICON.FR

La presse se fait l'écho de la découverte d'une faille affectant le navigateur alternatif Firefox. Les avis quant à la criticité de la vulnérabilité diffèrent. Qu'en est-il vraiment ?

La nouvelle faille découverte cette semaine par le site Securityview est présentée comme un « déni de service » affectant le navigateur vedette Firefox. Un Proof-of-Concept (PoC) a été développé et distribué à la communauté. Il s'agit d'un code Javascript placé dans une page HTML qui, lorsqu'elle est interprétée par le butineur, déclenche l'ouverture du client de messagerie email de la victime.

Jusque-là, rien dangereux me direz-vous ? Sauf que si la commande permettant l'ouverture du client de messagerie (Outlook, Thunderbird par exemple) est placée dans une boucle qui va exécuter la même opération plusieurs centaines de fois, la machine de la victime s'écroule et le redémarrage devient nécessaire pour retrouver l'usage de l'ordinateur. C'est ce que l'on peut appeler un « déni de service ».

Cette fameuse commande permettant l'ouverture du client de messagerie est en fait un lien « MAILTO » encapsulé dans un tag HTML « IMG SRC ». Rien de très sorcier donc, si ce n'est que cette commande ne nécessite aucune interaction (donc aucun clic) avec l'utilisateur pour être exécutée. Là est le danger.

Chacun connaît par cœur les fondamentaux de la sécurité informatique qui sont, je le répète pour les deux du fonds qui ne suivent pas, l'intégrité, la confidentialité et la disponibilité. Dans le cas qui nous intéresse, seule la disponibilité de la machine est remise en question par cette faille. Tant que la confidentialité ou l'intégrité des données ne sont pas mises en péril, on ne peut considérer cette faille comme critique.

Pourtant, l'heure n'est pas aux réjouissances ni au soulagement. Si aujourd'hui cette vulnérabilité n'est pas si dangereuse que la presse pourrait le clamer, il est toujours temps demain de trouver un moyen de l'exploiter afin d'exécuter des commandes arbitraires sur la machine de la victime. Les chercheurs planchent d'ores et déjà sur le sujet ...

Pour le moment, Mozilla n'a pas diffusé d'alerte pour cette pseudo-faille. Seule option pour les internautes qui souhaitent s'en protéger : désactiver Javascript et/ou le lien « mailto ».

Aurélien Cabezon pour

Techno En continu

Techno

Chargeur DAO 150W GaN Un clown à prendre au sérieux

Vous n’aurez jamais vu un chargeur aussi rigolo que le DAO 150W GaN, avec ses effets lumineux hallucinogènes, ses animations et son contrôle par une appli. Mais il fait un travail très sérieux en chargeant jusqu’à quatre appareils pour un maximum total de 150 watts. Drôle de bête.

Publié à 11h28
Techno

Cellulaire Les affirmations des libéraux sur la baisse des prix remise en doute

Alors que le gouvernement fédéral vante les mesures destinées à réduire le coût de la facture de téléphonie cellulaire des Canadiens, certains affirment qu’il existe un décalage entre ce que paient les consommateurs et le discours entourant la baisse des prix.

Publié hier à 13h25
Techno

Jeux vidéo Le détenteur de Tomb Raider change de modèle pour se relancer

(Stockholm) Clap de fin pour le géant glouton des jeux vidéo suédois Embracer : fragilisé financièrement par sa frénésie d’acquisitions, le détenteur de la franchise à succès Tomb Raider va se scinder en trois morceaux pour regagner les faveurs des investisseurs.

Publié hier à 8h56
Techno

Évêque agressé à Sydney X s’oppose au retrait des contenus liés à l’attaque

(Sydney) Le réseau social X, propriété du milliardaire américain Elon Musk, a contesté samedi l’ordre donné par le régulateur australien eSafety de retirer de la plateforme tous les contenus liés à l’agression d’un évêque dans la banlieue de Sydney.

Publié le 20 avril
Techno

TikTok teste une application rivale à Instagram au Canada

(Toronto) TikTok teste une application qui rivalise avec Instagram au Canada.

Publié le 19 avril
Techno

Chine Apple retire à la demande des autorités les applications WhatsApp et Threads

(Pékin) Apple a retiré WhatsApp et Threads de sa boutique d’applications en Chine à la demande des autorités, rapporte vendredi l’agence Bloomberg qui cite le groupe américain Meta, propriétaire des deux programmes visés.

Publié le 19 avril
Techno

Meta met le turbo dans l’intelligence artificielle générative avec Llama 3

(San Francisco) Meta (Facebook, Instagram) assure que Meta AI, son assistant d’intelligence artificielle (IA) générative, est désormais plus performant grâce à la nouvelle version de son modèle de langage Llama 3, dévoilé jeudi pour faire concurrence aux autres géants de la technologie.

Mis à jour le 18 avril
Techno

Les créateurs devraient divulguer l’usage de l’IA, affirme la sœur de Mark Zuckerberg

(Toronto) Randi Zuckerberg dit croire que les créateurs devraient commencer à révéler s’ils ont utilisé l’intelligence artificielle pour produire des œuvres, car il est « de plus en plus difficile de dire ce qui est réel ».

Mis à jour le 18 avril
Techno

Les modèles actuels d’IA ne sont « pas parfaits », admet le DG de Google News

(Pérouse) Shailesh Prakash, directeur général de Google News, a reconnu jeudi que les modèles actuels d’intelligence artificielle « ne sont pas parfaits du tout » mais « progressent rapidement », quelques semaines après la suspension d’un outil par le groupe américain pour cause d’inexactitudes historiques.

Publié le 18 avril
Techno

Telegram revendique près de 900 millions d’utilisateurs

(Dubaï) La messagerie Telegram compte près de 900 millions d’utilisateurs et devrait franchir la barre du milliard d’ici un an, a affirmé son patron dans une interview publiée mercredi.

Publié le 17 avril
Techno

Jeux vidéo La série Fallout stimule les ventes des jeux vidéo qui l’ont inspirée

(Paris) Le succès de la série américaine Fallout, sortie jeudi sur Prime Video et adaptée d’une franchise vidéoludique très populaire, donne un coup de fouet aux ventes des jeux de la saga plusieurs années après leurs sorties.

Publié le 16 avril
Techno

Les nouveaux utilisateurs de X devront payer pour publier des messages, selon Musk

(Paris) Les nouveaux utilisateurs de X devront payer de « petits frais » pour publier sur la plateforme pendant une durée de trois mois, a suggéré lundi soir le patron du réseau social, Elon Musk, dans un message.

Publié le 16 avril
Techno

L’IA, une nouvelle frontière semée d’embûches pour le Japon

(Tokyo) Le Japon, aidé par la méfiance grandissante des Occidentaux envers la Chine, cherche à revenir à la pointe de la course technologique mondiale, y compris dans l’intelligence artificielle (IA). Mais de sérieux obstacles se présentent, comme sa culture d’entreprise dépassée.

Publié le 12 avril
Techno

iPhone Apple va corriger un bogue associant le drapeau palestinien à Jérusalem

(San Francisco) Apple a indiqué jeudi être au courant d’un bogue informatique sur les iPhone signalé par des utilisateurs : quand ils cherchent un émoticône pour illustrer un message, l’entrée « Jérusalem » donne comme résultat le drapeau palestinien.

Publié le 11 avril
Techno

Instagram veut mieux protéger les mineurs du chantage aux photos intimes

(Paris) Alors que les réseaux sociaux sont régulièrement accusés de ne pas suffisamment protéger les mineurs en ligne, Meta a annoncé jeudi de nouvelles mesures sur Instagram pour protéger les jeunes du chantage aux photos de nu.

Publié le 11 avril
Techno

Vie numérique Google restreint son forum de discussion interne

(San Francisco) Depuis près de 14 ans, un forum de discussion en ligne appelé Memegen sert de « soupape virtuelle » aux employés de Google. Un lieu où les employés ont pu critiquer sans ménagement leurs patrons ou faire de l’humour grinçant sur les suppressions d’emplois, mais cette liberté a fait monter un peu trop la température pour la direction.

Mis à jour le 10 avril