Préparez-vous a devoir mettre votre Firefox à jour dans les jours qui viennent, une nouvelle faille vient d'être mise à jour et elle est loin d'être innocente.
Un petit appel javascript permettrait en effet d'accéder à 10k de votre mémoire. La position de ces 10k serait plus ou moins aléatoire et il serait donc totalement possible de récupérer un mot de passe qui serait en mémoire. Il serait donc possible, en Javascript, d'envoyer le contenu de ces 10k à un serveur pour analyse future et ce en boucle jusqu'à ce que vous quittiez le site.
Une seule solution actuellement, désactiver totalement le Javascript ... ou utiliser Opera (sigh). Ah oui, pour la petite histoire, le bug a été corrigé en moins de 10h, mais 3 jours après, la correction n'est pas encore disponible, ce qui explique donc la publication de secunia. Et pour conclure sur l'origine du bug, il viendrait d'un code qui date de 1997 et qui a déjà été partiellement corrigé en 2000, un code qui vient donc directement du projet Netscape.
Un petit appel javascript permettrait en effet d'accéder à 10k de votre mémoire. La position de ces 10k serait plus ou moins aléatoire et il serait donc totalement possible de récupérer un mot de passe qui serait en mémoire. Il serait donc possible, en Javascript, d'envoyer le contenu de ces 10k à un serveur pour analyse future et ce en boucle jusqu'à ce que vous quittiez le site.
Une seule solution actuellement, désactiver totalement le Javascript ... ou utiliser Opera (sigh). Ah oui, pour la petite histoire, le bug a été corrigé en moins de 10h, mais 3 jours après, la correction n'est pas encore disponible, ce qui explique donc la publication de secunia. Et pour conclure sur l'origine du bug, il viendrait d'un code qui date de 1997 et qui a déjà été partiellement corrigé en 2000, un code qui vient donc directement du projet Netscape.
Liens
Demonstration Secunia (202 Clics)
Envoyer une nouvelle à un ami