Navigation
L'actualité informatique et multimédia
La faille légère de Firefox s'évapore
Du vent dans les voiles du navigateur
Du vent dans les voiles du navigateur
Le site PacketStormSecurity avait publié un bulletin ciblant Firefox 1.5. Le problème annoncé clamait un risque de déni de service voire de débordement de mémoire dans la gestion du fichier history.dat. L'énoncé reposait sur un script générant une grosse quantité de données en son sein, afin de piéger le navigateur. Le fichier en question étant lu à chaque démarrage, de grosses lenteurs se font ressentir laissant présager un problème exploitable. Rapidement, ainsi que nous le rapportions, les sites de sécurité réputés rangeaient cette découverte dans la catégorie « risque bas » ou « non critique » et une enquête était en cours du côté de la Fondation Mozilla.
Vendredi soir, Tristan Nitot, responsable de Mozilla Europe, publiait sur son blog un bulletin explicatif, issu justement des conclusions de la Fondation. Qu'en est-il ? Les lenteurs s’expliquent ainsi facilement : dans le script de PacketStorm, le navigateur se retrouve confronté à une chaîne de 2,5 millions de caractères. Du coup, s’il y a retard au démarrage, c'est qu’il faut simplement un peu de temps au logiciel pour ingurgiter et manipuler cette masse. Et voilà pourquoi, un simple coup de balai dans l'historique permet une purge salvatrice. Finalement, la prétendue faille n’est même pas « légère » comme annoncée à tort, mais se cantonne au rang de simple coup de vent :
« Les pages Web avec des titres extrêmement longs (le test publié utilisait 2,5 millions de caractères) peuvent faire que Firefox et la suite Mozilla semblent ne plus fonctionner au démarrage alors qu'ils sont en train de lire l'historique de navigation. Le navigateur finira par fonctionner normalement, même si cela peut prendre plusieurs minutes sur un ordinateur lent. La lenteur au démarrage persistera tant que le titre long n'aura pas été retiré du fichier de l'historique, ou tant qu'il n'aura pas expiré » explique ainsi la Fondation. Celle-ci précise au final avoir mené des recherches sur ce problème et pense « qu'il n'y a pas de raison d'affirmer que des variantes de cette attaque par déni de service peuvent provoquer un plantage qui pourrait être exploité, et nous n'avons pas eu la preuve de cette affirmation. Il ne semble pas y avoir de risques pour les utilisateurs au-delà du manque de réactivité au démarrage. »
Vendredi soir, Tristan Nitot, responsable de Mozilla Europe, publiait sur son blog un bulletin explicatif, issu justement des conclusions de la Fondation. Qu'en est-il ? Les lenteurs s’expliquent ainsi facilement : dans le script de PacketStorm, le navigateur se retrouve confronté à une chaîne de 2,5 millions de caractères. Du coup, s’il y a retard au démarrage, c'est qu’il faut simplement un peu de temps au logiciel pour ingurgiter et manipuler cette masse. Et voilà pourquoi, un simple coup de balai dans l'historique permet une purge salvatrice. Finalement, la prétendue faille n’est même pas « légère » comme annoncée à tort, mais se cantonne au rang de simple coup de vent :
« Les pages Web avec des titres extrêmement longs (le test publié utilisait 2,5 millions de caractères) peuvent faire que Firefox et la suite Mozilla semblent ne plus fonctionner au démarrage alors qu'ils sont en train de lire l'historique de navigation. Le navigateur finira par fonctionner normalement, même si cela peut prendre plusieurs minutes sur un ordinateur lent. La lenteur au démarrage persistera tant que le titre long n'aura pas été retiré du fichier de l'historique, ou tant qu'il n'aura pas expiré » explique ainsi la Fondation. Celle-ci précise au final avoir mené des recherches sur ce problème et pense « qu'il n'y a pas de raison d'affirmer que des variantes de cette attaque par déni de service peuvent provoquer un plantage qui pourrait être exploité, et nous n'avons pas eu la preuve de cette affirmation. Il ne semble pas y avoir de risques pour les utilisateurs au-delà du manque de réactivité au démarrage. »
Rédigée par le lundi 12 décembre 2005 à 09h28 (14326 lectures)
Le reste de l'actualité :
12-12-05 : 22 500 dollars pour 30 morceaux de musiques
12-12-05 : F-secure casse une partie des petits secrets de Sober
12-12-05 : Microsoft capitalise sur la sécurité pour Vista
12-12-05 : Le LabelFlash met aussi du temps à s'intégrer
12-12-05 : Retro-compatibilité Xbox, une mise à jour à corriger
12-12-05 : La faille légère de Firefox s'évapore
12-12-05 : 7 des meilleures cartes graphiques avec GPU NVIDIA
12-12-05 : La Radeon X800GTO 16 de Power Color en test
12-12-05 : Preview du Creative iPodesque contre le 5G de la pomme
11-12-05 : L'iPod a son iDog. Et l'iDog a maintenant sa niche
12-12-05 : F-secure casse une partie des petits secrets de Sober
12-12-05 : Microsoft capitalise sur la sécurité pour Vista
12-12-05 : Le LabelFlash met aussi du temps à s'intégrer
12-12-05 : Retro-compatibilité Xbox, une mise à jour à corriger
12-12-05 : La faille légère de Firefox s'évapore
12-12-05 : 7 des meilleures cartes graphiques avec GPU NVIDIA
12-12-05 : La Radeon X800GTO 16 de Power Color en test
12-12-05 : Preview du Creative iPodesque contre le 5G de la pomme
11-12-05 : L'iPod a son iDog. Et l'iDog a maintenant sa niche
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0544 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0544 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
