Logo

Quoi de neuf dans Firefox et son univers?

dimanche 5 août 2007

Fuzzer -Trouver les failles de Firefox, Mozilla vous donne la solution


Mozilla a décidé de distribuer librement une série d'outils open-source permettant de trouver des failles dans Firefox. Ces outils sont connus sous le nom de "Fuzzer"


Mais finalement, un "fuzzer" c'est quoi?
Un fuzzer est un outil qui va envoyer des données à une application d'une manière qui n'est pas attendue. Un Fuzzer peut tester plusieurs types d'approche, dans des millions de cas possibles, en combinant des données et des champs de toutes les manières possibles. L'outil en soit n'est pas dangereux, cela dépend uniquement du but de son utilisation, soit la faille découverte est communiquée à l'éditeur du logiciel pour être corrigée soit elle est exploitée par le hackeur.
Le nombre de failles exploitées ne devraient pas bondir, en effet les hackeurs utilisent déjà ce genre de produit.



Le premier outil disponible à été présenté lors de la conférence du Black Hat le 2 Aout 2007 à Las Vegas.
Cet outil désormais connu sous le nom de "Javascript fuzzer" est disponible ici. Comme son nom l'indique il s'agit d'un outil pour tester les failles javascript.

Il n'est que le premier d'une série de logiciel car Mozilla annonce déjà qu'un "Fuzzer" pour tester le protocole FTP et un autre pour le protocole HTTP devraient voir le jour d'ici quelques mois.



Libellés : , , , , , ,

publié par Amau96 à 10:18 | 0 commentaires

mercredi 11 juillet 2007

Securite : Internet Explorer attaque Firefox?


Encore une faille découverte dans Internet Explorer et Firefox me direz-vous? Non, en fait cette fois il s'agit d'une vulnérabilité de Firefox et Internet Explorer combinés.

Les deux navigateurs se rejettent la faute! Pour comprendre et se faire une idée, voilà ce qui se passe : Firefox, lors de son installation, installe un gestionnaire d'IRL (pour simplifier, c'est comme un gestionnaire d'URL), appelé firefoxurl:// (comme http:// ou ftp://). Le problème vient du fait que si Internet Explorer tente d'ouvrir une URL de ce type, lors du clic sur un lien ou bien simplement dans une iframe, il lancera automatiquement Firefox, avec s'il le souhaite des paramètres supplémentaires dans l'url, tels l'appel de l'expression -chrome (propre à la configuration système de Firefox) et par la même occasion certains scripts malveillants!

Qui est le coupable? D'un coté Internet Explorer qui ne vérifié pas ce qui sort, de l'autre, Firefox qui ne vérifie pas ce qui entre. L'un et l'autre se renvoient la balle, et Mozilla a confirme que si vous utilisez Firefox pour naviguer, vous êtres à l'abri de toute attaque. Si vous souhaitez en savoir un peu plus, n'hésitez pas à lire cet article de Thor Larholm, pour peu que vous ne soyiez pas anglophobe!

La faille sera corrigée dans le prochain Firefox 2.0.0.5, tout comme le seront semble-t-il les deux précédentes découvertes il y a peu.

Libellés : , ,

publié par Amau96 à 18:36 | 0 commentaires

mercredi 6 juin 2007

Firefox : la securite sujette aux preoccupations


Suite à la recommandation pour raisons de sécurité de Mozilla à propos de Firefox, chacun a espérons-le, troqué son vieux Firefox 1.5 pour un 2.0 tout neuf! Vous l'aurez compris, la compagnie fait de son mieux pour toujours améliorer la sécurité du navigateur.

"Que vous failliez, qu'ils faillent..."
Malheureusement, deux failles ont récemment été découvertes dans la version 2.0.0.4 de firefox, dont l'une est majeure, et l'autre mineure. Elles ont été découvertes par Michal Zalewski, un célèbre hacker white hat (c'est à dire un gentil!). La première consiste en l'insertion d'une "iframe" (en fait une fenêtre à l'intérieur de la fenêtre) invisible si on n'examine pas le code, qui permettrait au dit-site de récupérer ce que vous tapez à l'aide d'un Keylogger, comme vos identifiants et mots de passe de certains sites. Plutôt inquiétant notamment lorsque l'on pense aux sites comme Paypal, eBay, ou autres.
La seconde permettrait de lancer un téléchargement sans que vous ne l'acceptiez, mais elle est considérée par les experts comme "moyenne".
Vous allez me dire "Je repasse sur Internet Explorer!"...NON! D'abord pour toutes les raisons qui font que Firefox est Firefox, mais aussi parce qu'Internet Explorer a aussi eu droit à la découverte de deux failles, tout aussi critiques.

Sécurité++ dans Firefox 3!
Concernant la sécurité, on apprend par ailleurs que Firefox 3 intègrera un système de blocage des sites dits à risque, c'est à dire qu'en plus du filtre anti-phishing déjà disponible dans Firefox 2, le navigateur pourra bloquer les sites présentant un risque pour l'utilisateur, susceptibles d'installer un script malveillant sur votre machine.
Et une fois de plus, qui est dans le coup? Google, bien entendu! Mozilla et Google avancent de paire depuis quelques temps (on pense notamment à la barre d'outils google, désormais intégrée). Et cette fois, Google fournira à Firefox une liste de sites à éviter, une blacklist, que le navigateur se chargera de bloquer. De nombreuses discussions ont récemment pris place concernant cette intégration, les uns prônant la sécurité pour les utilisateurs, les autres clamant au scandale, puisque Google serait alors en mesure de bloquer tout site non désiré, et donc de "contrôler le mooonnde, Minus!".
L'intégration de cette fonction dans la prochaine version du navigateur n'est pas encore décidée officiellement, de plus elle n'est classée qu'en priorité P2 par Mozilla, ce qui signifie que son intégration n'est pas une priorité, il se pourrait donc que la fonctionnalité attende la prochaine génération du navigateur. Malgré tout, il ne reste qu'un peu plus d'un mois aux développeurs et dirigeants de Mozilla pour s'accorder et se décider, car toutes les fonctionnalités devront être fixées pour la sortie de la tant attendue Beta 1 de Firefox 3.

Libellés : , , , , ,

publié par Bastoune46 à 14:54 | 0 commentaires