Publié dans Logiciel

12

Mozilla corrige une importante faille 0-day dans Firefox

Mozilla corrige une importante faille 0-day dans Firefox

L’éditeur vient de publier une mise à jour pour les deux éditions du navigateur : Firefox 72 et ESR 68.4. Elle colmate une importante vulnérabilité, déjà exploitée donc dangereuse.

La faille réside dans le moteur JavaScript JIT IonMonkey. Exploitée, elle permet la prise de contrôle de la machine, donc l’exécution de commandes arbitraires ou encore le lancement de malwares. Firefox ESR 68.4 étant affecté, il est probable que la brèche existe depuis plusieurs mois au moins.

Toutes les plateformes sont concernées. Il est recommandé de se rendre dans l’À propos du navigateur pour vérifier que la mise à jour a bien été téléchargée, puis de le redémarrer au plus vite. Sous Linux, il y a de fortes chances que la nouvelle soit distribuée par la boutique d’applications correspondante.

12

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 0
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 8
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 5
12

Fermer

Commentaires (12)


“déjà exploitée donc dangereuse”

 Oui une faille connue dont on ignore si elle est exploitée ou non est non dangereuse, c’est bien connu.

<img data-src=" />

Le paragraphe suivant m’a bien mieux convaincu de sa dangerosité.


Heu… tu tire des conclusion qui ne sont pas dans la news.

&nbsp;ce n’est pas parce que si “A” alors “B”, que si “pas A” alors “pas B”, ou si “A est inconnue” alors “pas B”.

&nbsp;La 1ère proposition ne permet absolument pas de conclure aux deux autres.



&nbsp;Genre, si un couteau est dans les mains d’un fou furieux, donc dangereux.

Ce n’est pas parce que le couteau est dans les mains d’une personne qui n’est pas considérée comme un fou furieux, ou que l’on ne sait pas si c’est un fou furieux que le couteau n’est pas potentiellement dangereux.


Comparer cette faille à un e arme blanche me parait aussi farfelu que les comparaisons bagnolesques qu’on a régulièrement ici, mais ce n’est pas ce que je voulais soulever.

&nbsp;







Chocolat-du-mendiant a écrit :



Heu… tu tire des conclusion qui ne sont pas dans la news…





oui

&nbsp;



Chocolat-du-mendiant a écrit :



…ce n’est pas parce que si “A” alors “B”, que si “pas A” alors “pas B”, ou si “A est inconnue” alors “pas B”.

&nbsp;La 1ère proposition ne permet absolument pas de conclure aux deux autres..





oui encore

&nbsp;



Chocolat-du-mendiant a écrit :



…Genre, si un couteau est dans les mains d’un fou furieux, donc dangereux…





oui aussi

&nbsp;

&nbsp;



Chocolat-du-mendiant a écrit :



…Ce n’est pas parce que le couteau est dans les mains d’une personne qui n’est pas considérée comme un fou furieux, ou que l’on ne sait pas si c’est un fou furieux que le couteau n’est pas potentiellement dangereux.





Toujours oui mais j’ai du terriblement mal m’exprimer, car c’est précisément ce que je voulais indiquer.

Attendre que la faille soit exploitée pour dire qu’elle est dangereuse est faux, car comme tu l’as démontré, même non exploitée elle est toujours potentiellement dangereuse.



Une faille exploitée est dangereuse.

Une faille à priori non exploitée est potentiellement dangereuse.



Donc la news est bien écrite.


Qui a parlé d’attendre ?

Désolé, c’est peut-être moi qui me suis mal exprimé. J’avais compris que l’on sait tous les deux qu’une faille est dangereuse à partir du moment où elle existe. Ce n’est pas parce que l’on a aucune preuve de son exploitation qu’elle ne l’a pas été. (on trouvera toujours quelques exceptions à cette règle, mais en général c’est ça)



Mais tu semble dire que l’auteur de la news ne l’a pas compris. L’auteur, ou Mozilla, du reste. Et c’est sur ce point que je ne suis pas d’accord avec toi :)

Pour moi, dans la news, la formule : “Elle colmate une importante vulnérabilité, déjà exploitée donc dangereuse.” n’insinue pas que l’auteur de la news pense qu’elle n’aurai pas été dangereuse si elle n’était pas déjà exploitée.



Peut-être qu’il pourrait y avoir une meilleur formulation ? Mais elle n’est pas fausse.



Après on peut discuter sur le degré ou sur l’urgence de cette dangerosité en fonction du fait que son exploitation est connue. C’est peut-être ce que veux souligner la news. La différence entre une faille 0-day avérée et une faille dont on a pas encore connaissance d’une exploitation. Mais pour moi ça n’insinue pas que sinon, tout va bien.

&nbsp;


Je ne vois toujours pas pourquoi c’est le fait qu’elle soit déjà exploitée qui la rend dangereuse (pour rappel : “déjà exploitée donc dangereuse”). Ça n’a simplement aucun sens.


Heu… je te rappel qu’on te dit depuis, le début, qu’il n’y a que toi qui a compris ça.

&nbsp;Et effectivement ça n’a aucun sens.



Par contre le fait que ce soit une 0-day (exploitation active détectée de la faille avant correction) rend plus urgente cette dangerosité.

&nbsp;

&nbsp;Je n’ai pas d’expertise particulière dans le domaine.

Mais il me semble que quand une exploitation active d’une faille est détectée, qui plus est, alors qu’elle n’est pas encore corrigée, c’est beaucoup plus urgent et dangereux que quand cette même faille n’a apparemment pas encore été exploitée.



Cela dépend de pleins de choses, et en particulier de la nature de la faille. C’est sans doute rare, mais certaines doivent pouvoir être exploitée très activement a l’insu de tout le monde, alors que d’autres si elles ont été exploitée ont forcément laissé des traces (crash spécifique, activité réseau atypique, etc…).



Mais quand l’exploitation devient publique, elle peut se répandre comme une traînée de poudre. Ce n’est pas tant la dangerosité potentielle de la faille d’un seul Firefox qui change. Mais le risque qu’un individu lambda (qui n’est pas une cible militaire, politique, économique, etc… particulière) se fasse toucher par une attaque qui utiliserai la faille en question.

Le fait qu’une méthode d’exploitation d’une faille soit connue, veut dire qu’elle peut être étudiée, copiée, améliorée et automatisée, et donc atteindre beaucoup plus de gens et beaucoup plus vite.

Là encore ça dépend de la méthode. Certaines même connues, peuvent poser tellement de problèmes pour leur mise en pratique que ce n’est pas très dangereux.



Si par contre tu fait partis des cibles militaires, politiques économiques, etc… intéressantes pour un pirate et/ou avec des ennemis compétent et possédant les moyens de la mettre en pratique. A chaque faille corrigée, même celles qui n’ont pas eu d’exploitation active connue avant leur correction. Tu as intérêt a comprendre la faille, ses implications et est-ce que tu n’aurai pas les traces d’une exploitation de cette faille dans ton système. On sait jamais.



Mais pour un lecteur lambda (ce n’est pas forcément ton cas) de Next INpact tant qu’il n’y a pas d’exploitation connue d’une faille, comme le dit Mihashi d’une façon claire et concise (je suis admiratif :) ) la dangerosité est potentielle.



Je ne sais toujours pas si mon point de vue est plus clair ?

Si tu as un trou dans ton toit (la faille), c’est potentiellement dangereux. Si on annonce un orage de grêle (l’exploitation active de la faille) c’est donc dangereux.

Ça aurai pu être tourné différemment dans la new, par exemple en parlant d’urgence, mais ce n’est pas faux. Et ça n’implique pas que la faille avant la connaissance de cet exploitation n’était pas dangereuse.



(j’espère que tu n’est pas un troll … )


Merci en tout cas pour ta patience, je vais arrêter là car je me donne maintenant aussi à moi même l’impression de troller.


Je pense que tu confonds dangerosité (risque avéré ou pas) et criticité (conséquences graves ou pas).








Winderly a écrit :



Toujours oui mais j’ai du terriblement mal m’exprimer.







Non non. J’ai compris exactement comme toi, et je suis d’accord avec toi.

Je trouve une arme à feu sous une voiture le soir en rentrant chez moi. Je n’ai pas besoin de m’en servir pour savoir qu’elle EST dangereuse, et pas seulement “potentiellement” dangereuse.



Aah une comparaison quasi bagnolesque. <img data-src=" />

&nbsp;

Mais j’étais sérieux en disant arrêter.


Hé, hé, hé <img data-src=" />

Tu as trouvé l’arme à feu, maintenant “tu es armé donc dangereux”.

&nbsp;Tu es en train de te servir de l’arme à feu que tu a trouvé (l’exploitation c’est plutôt ça) elle est donc dangereuse”.

Est-ce que les phrase précédente (arme trouvée, arme utilisée) impliquent que l’arme à feu n’était pas quelque chose de dangereux avant ? Non. Sauf si tu a un problème avec la logique (voir 1 paragraphe de mon 1er commentaire, le “donc” “implique”, mais “n’exclue pas”)

&nbsp;

Peut-être pour affiner mon 1er commentaire, ce n’est pas tant : si “A” alors “B”

Mais : Si “A” (existence de la faille) + “C” (exploitation avéré de la faille) donc “B” (dangereuse)

Qui n’implique pas que Si “A” + “C’ “(on ne sait pas si elle est exploitée) donc pas “B”. On sait pas pour l’exploitation, c’est donc potentiellement dangereux on ne peut pas dire “donc pas “B” “.

&nbsp;Et personne ne l’a dit, ni même insinué dans la news.

&nbsp;

Et si je voulais aller plus loin (allé, j’y vais ;) ) je pourrai même affirmer que : Si “A” + pas “C”(On&nbsp; est sûr qu’elle n’a jamais pu être exploiter) donc pas “B”. Et oui ! une faille dont on serai absolument sûr qu’elle n’a jamais pu être utilisée, n’a jamais fait courir aucun risque et n’a donc jamais été dangereuse.

A part des cas très particulier, il faudrait être sacrément présomptueux pour affirmer que ce genre de chose est possible. Et personne ne l’a dit, ni même insinué dans la news.



Autant je trouve le “donc dangereuse” de la news, pas très bien tourné, mais pas faux. Autant les “100% sécurisé”, ou autres “totalement sécurisé” que l’on peut lire parfois (pas ici <img data-src=" />), me font bondir. Genre quelqu’un qui affirme que pour un système donné il n’est pas possible qu’il y ait une faille (Si&nbsp; “A” impossible, donc pas “B”, la logique est bonne, mais affirmer que “A” est impossible est forcément faux), ou genre il n’est pas possible qu’une faille puisse être exploitée sur le système ( Si (“A” + “C”) impossible donc pas “B”).

&nbsp;Bref, il n’y a que des commerciaux pour oser un truc pareil …et des directeurs pour les croire.