Firefox 3.5 : le renard est malade!

Aie, aïe, aïe. Depuis que la dernière version de firefox (la 3.5) a été installé sur mon PC, the "blue screen of death" a fait son grand retour. En cause une faille importante dans le navigateur, qui pousse la Fondation Mozilla a dispenser quelques rustines en attendant de guérir son bébé.


"P*tain de Windows, j'en ai marre". Après avoir gelé ma page firefox, c'est tout mon environnement vista qui a planté. Après un freez d'une bonne minute, triste épilogue qu'est ce terrible "écran bleu de la mort" annonçant une problème de mémoire.

Une fois ça va, deux vas-y casse toi. Je coupe à la sauvage l'unité centrale et me dirige vers mon ordi portable, sous linux (Ubuntu). Normalement il me sert pour tout ce qui est test de sécurité informatique, mais bon quand y'en a marre ...

Le pingouin s'en sort bien (et oui j'entends déjà certain jubiler), et c'est rouge de rage (ou de honte) que je dois alors écrire un article sur ce bon vieux Internet Explorer de vista. Mais qu'est ce que j'ai bien pu faire pour crasher mon ordi comme ça? Le dernier site internet que j'ai visité? Testons avec IE : niet, ça marche nikel. Une seule possibilité : serait-se de la faute au ô combien respecté et réputé pour sa fiabilité/stabilité Firefox? Et bien oui, il semblerait bien que les développeurs soient allés un peu trop vite dans le chantier, et aient oubliés quelques briques .

La faille est connu depuis une semaine par l'équipe de développeur de Mozilla, mais ce n'est qu'en début de semaine qu'elle est devenu critique. Le spécialiste danois de la sécurité, Sécunia, a qualifié la brèche de « hautement critique » (4/5), depuis qu'un exploit (une "recette de cuisine" pour utiliser cette brêche) ait été rendu publique.

La faiblesse se trouve dans le moteur javascript flambant neuf "TraceMonkey" du navigateur. Il autoriserait lancement de codes malicieux au travers du JavaScript, permettant de corrompre la mémoire.
Le hacker était une espèce utilisant pleinement le cerveau dont la nature l'a doté, cette erreur peut être détournée pour lancer d'autres types de codes pouvant engendrer des dégâts sur l'ordinateur de l'utilisateur.

En attendant la publication du patch correctif, Mozilla recommande de désactiver le "JIT", le compilateur à la volée :

1/ taper about:config dans la barre d'adresse de Firefox 3.5
2/ mettre jit dans la barre de recherche
3/ double-cliquer sur javascript.options.jit.content pour passer la valeur de true (vrai) à false (faux).

L'utilisation d'un add-on tel que Noscript peut également être une solution. Ce petit module bloque par défaut le javascript, et c'est à l'utilisateur d'accepter manuellement l'exécution du code.

Le troll risque de se lancer une fois de plus sur la crédibilité de la sécurité de l'environnement Windows. Seulement il faut savoir que ce n'est pas parce que l'on est sous Linux ou Mac que l'on est à l'abri de tout : la sécurité informatique est avant tout une question de vigilance. (en parlant de vigilance, ça m'apprendra à surfer sur des sites pas clairs avec windows ET le javascript d'activé!)


.sicw-news.com/

j'ai constaté qu'il y avait un problème au niveau de mon Firefox, en lisant cet article je l'ai toute suite désintallé, mieux vaut la prévention.