Faille dangereuse ou pas ?

Une faille concernant l’historique de Firefox a été récemment découverte.

Selon l’article de Secunia et ce qu’on peut lire sur l’article de Generation-NT concernant cette faille, certaines adresses contenu dans l’historique pourrait provoquer un crash du logiciel.

Cependant, cette faille est considéré comme étant d’une faible dangerosité sur le site de Secunia, n’étant noté que 1 sur 5.

De plus, le bug concerné, le 319004 n’a pas droit au traitement des bugs touchant à la sécurité du navigateur, en clair ? Il est librement affiché.

La parade est simple : vider l’historique du navigateur. Sous Firefox 1.5, il suffit d’aller dans le menu « outils/supprimer les données enregistrées », et le crash est contourné. Sous Firefox 1.0, il suffit d’aller dans les options, et dans la section « vie privée », cliquer sur le bouton vider en ce qui concerne l’historique.

D’ailleurs, si on en croit le communiqué officiel de la fondation mozilla, un exemple prouvant cette faille est basé sur une adresse de 2,5 millions de caractères !

La preuve de cette faille est disponible à cette adresse : http://packetstormsecurity.org/0512-exploits/firefox-1.5-buffer-overflow.txt

Il suffit de copier le code html, de le sauvegarder dans un fichier et de l’ouvrir.