Firefox : Faille éditoriale critique et disques qui durent

le 05/10/2006, par Marc Olanié, Alerte, 578 mots

En fin de semaine dernière, un couple de chercheurs en sécurité affirmait avoir découvert 30 failles au coeur de Firefox, dont un défaut Javascript qui avait déjà fait, en d'autres temps, l'objet de spéculations... non appuyées par la publication d'un PoC exploitable « à distance ». Cette révélation faite durant la conférence Toorcon 8 revêtait toutes les apparences d'une annonce sérieuse. A quelques détails près : - Il semblait difficile d'admettre, après le très médiatique « blitz » de H.D.Moore sur les navigateurs, que deux chercheurs indépendants puissent découvrir 30 trous originaux qui n'aient pas fait l'objet d'investigation durant le « month of browser's bugs » de cet été. La chose eut été possible 4 ou 5 mois plus tard ou plus tôt, mais là, le travail de fuzzing relevait de l'aventure stakhanoviste la plus improbable. - Le lieu de l'annonce était également douteux. Les organisateurs de Toorcon sont généralement diablement compétent... dans le domaine du « hack matériel ». Même si Dan Kaminsky y faisait une entrée remarquée, ce n'était pas un indice suffisant pour offrir à ce meeting un cachet d'absolue expertise logicielle. - Les récentes failles et découvertes de ZDE de ces dernières semaines, qui affectaient certains programmes Microsoft, avaient « sur-sensibilisés » une grande partie des publications en ligne et blogs de tous crins. La découverte était peut-être un peu trop belle et tombait trop « à propos » pour ne pas éveiller au moins l'ombre d'un soupçon. - Enfin, la présentation des inventeurs était dénuée de la moindre preuve « codée » tangible, détail d'autant plus suspicieux que les deux auteurs ne s'étaient pas fait de nom sur les listes Full Disclosure, Bugtraq, NT-Bugtraq, Cert, Securiteam etc. Autant d'éléments qui ont poussé la rédaction de CSO France à attendre que se décante la situation avant de publier la moindre ligne sur le sujet. Fin juillet, à l'occasion de la DefCon, la réaction eut été différente. Le filtrage de ce genre de « keynotes » par les organisateurs du forum également. L'annonce en question était en fait un énorme « bidonnage » humoristique, comme l'affirme son auteur. Tout se résume donc à une pincée de faits réels sur une faille difficile à exploiter -le fameux bug JavaScript qui déclencha les commentaires de Mme Snyder-, noyée (la pincée de fait réels, pas Mme Snyder) dans un océan de trous totalement inventés. Le Securiteam, en fait d'ailleurs une analyse objective, consultable depuis le premier du mois. Ce bug éditorial ne doit pas pour autant laisser dans l'ombre d'autres causeries véritablement importantes qui se sont tenues dans l'enceinte de la Toorcon. Une intervention aussi brève que remarquée de Johnny « cache », l'homme de l'attaque « driver level » des cartes WiFi Apple, ainsi qu'une présentation remarquable de clarté -et non de simplicité- signée Scott Moulton sur l'art et la manière de « récupérer » un disque dur devenu muet. On en retiendra au moins trois choses importantes : 80% des accidents de disque peuvent être réparés par simple intervention logicielle. Si, par malheur, le matériel était en faute, un échange standard de la carte contrôleur résout généralement la question... de quoi inciter les victimes à surveiller les sites de ventes de particuliers en ligne, histoire de cannibaliser quelques Winchesters. Enfin, l'expression américaine « keep cool » est, en matière de stockage de masse, une vérité première. Une remarque que l'auteur de cette présentation traduit par un usage intensif de modules à effet Pelletier. Précisons qu'en vertu du principe de Lavoisier, le « froid » offert par ces composants-miracle est contrebalancé par l'obligation d'une sérieuse aération de l'envers dudit module ainsi que par une surconsommation en courant aussi peu écologique qu'économique.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...