Radware annonce la découverte d’une vulnérabilité risquant de provoquer un déni de service (Denial of Service, ou DoS) dans Firefox 3, la dernière application de navigation Internet de Mozilla.
L’équipe de recherche spécialisée du centre de sécurité opérationnelle de Radware a découvert que la vulnérabilité pouvait entraîner une panne système du navigateur Firefox et la perte instantanée des données non enregistrées. Une protection immédiate contre cette vulnérabilité est disponible dans le cadre du service des mises à jour de sécurité de Radware, qui vise à préserver les infrastructures des clients avant la divulgation publique de la faille.
« Sans conteste, Mozilla a continué à investir notablement dans les fonctions de sécurité de Firefox 3; toutefois, nous avons pu détecter facilement cette vulnérabilité grâce à une simple technique de fuzzing. Cela indique clairement que des vulnérabilités « zéro minute » existent toujours dans le domaine public, ce qui renforce l’évidence que les exigences de sécurité doivent rester une priorité lors du développement et du lancement de nouvelles applications en réseau », explique Itzik Kotler, Directeur du centre de sécurité opérationnelle de Radware.
L’équipe de recherche de Radware a découvert que pour exploiter la vulnérabilité qui « plante » l’application Firefox 3, l’utilisateur doit ouvrir ou visiter une page HTML créée avec un simple jeu de balises HTML légitimes. Le code peut être produit par social engineering ou injecté dans un site compromis.
Radware a également déterminé que la vulnérabilité concerne la version 3.0 de Firefox, ainsi que des versions de mise à jour mineures (par exemple, 3.0.1) diffusées.
 Pour aller plus loin sur ce sujet
|
|
