|
Titre: première faille firefox Posté par: noitan le 12 Décembre 2005 à 12:23:14 Citation Elle parle d'un simple ralentissement à l'ouverture. Selon la fondation Mozilla en effet "l'exploit" démontrant cette faille utilisait une chaîne de caractères de 2,5 millions de caractère. Le blocage de Firefox lors d'un redémarrage ultérieur ne serait qu'apparent et résiderait simplement dans le temps mis par le navigateur pour lire cette chaîne. Donc si l'on attend suffisamment longtemps on observe que Firefox démarre bien et la fondation affirme qu'il est impossible d'exploiter ce problème pour compromettre l'ordinateur cible. Voila l'article :http://www.futura-sciences.com/news-premiere-faille-firefox-15_7776.php avis aux amateurs !! Titre: première faille firefox Posté par: PEGASE le 12 Décembre 2005 à 13:55:30 Un simple Denial... je pense po ke la penetration soit possible et encore moin le crash de la machine...
La victime d une telle attaque pourra toujours utiliser IE le temps d effacer la longue ligne... :cry: Titre: première faille firefox Posté par: Invit le 12 Décembre 2005 à 15:35:39 Hopla, detrompez-vous, mon cher PEGASE, voici le PoC que j'ai trouvé, comprend ce que peux qui veut ou inversément :
Code: <html><head><title>heh</title><script type="text/javascript"> J'dois dire qu'entre celle-ci et la dernière 0day sur IE on est relativement gatés en cette fin d'année, et moi qui croyait que j'allais avoir une orange en cadeau :lol: Merci Pernault L. =D Titre: première faille firefox Posté par: noitan le 12 Décembre 2005 à 15:49:39 hum j'ai pas tout compris !?! =D
Titre: première faille firefox Posté par: Bricou le 12 Décembre 2005 à 16:36:23 O_o Il est où le reste du code ? Y'a que ca ?
Je suis dessus par FireFox la ... 1ere edit : Bon, apres un test, ca fait quoi apart freezer FireFox pendant 3 sec ? 2eme edit : A ouai qd meme ... lol Titre: première faille firefox Posté par: Perfect Slayer le 12 Décembre 2005 à 17:49:12 Bah FF est incapable de gérer un parametre aussi long.. Crash au redémarrage..
Soit dit en passant, c'est pas le 1er... lit plutot ca, c'est tout frais d'aujourd'hui :wink: (et plus dangeureux) http://www.frsirt.com/exploits/20051212.fireburn.php Titre: première faille firefox Posté par: comtezero le 12 Décembre 2005 à 19:56:32 Citation Vous le voyez ? On peut difficilement faire plus simple... mdr :cool:J'dois dire qu'entre celle-ci et la dernière 0day sur IE on est relativement gatés en cette fin d'année, et moi qui croyait que j'allais avoir une orange en cadeau icon_lol Titre: première faille firefox Posté par: SeVeN le 13 Décembre 2005 à 13:27:44 Alors, deja j'en ai marre de voir des ""journalistes"" faire du sensas' en cassant du sucre sur le dos des logiciels à la mode en criant a la faille tout de suite. Le boulot d'un journaliste, c'est de verifier ses informations !
Bon là ça s'adresse surtout à futura-sciences (et aussi à ces andouilles de Generation NT), mais aussi un peu à noitan qui n'a pas verifié. A la sortie de cette prétendue faille, j'ai evidement sauté sur l'occaz' pour debugger firefox.exe et voir si on pouvait sortir une execution de code. Et bien je me suis vite aperçu que ce n'etait pas le cas, car il n'y a pas du tout de faille. le POC en question (donné par Bufferbob plus haut) se charge de remplir le fichier history.dat de plusieurs millions de caracteres. Puis quand Firefox 1.5 se relance, il parse ce fichier, et pour parser des millions de caractères, il faut un certain temps. Donc, suite à l'execution du POC, on relance Firefox, on attend 1 à 2 minutes, et Firefox demarre sans probleme. La ou je dis que Noitan n'a pas verifié, c'est qu'il y a eu une explication sur le site meme de Mozilla: http://www.mozilla.org/security/history-title.html et une autre sur le standblog de Tristan Nitot. Donc, il s'agit d'un bug (et déjà...) mais surtout pas d'une faille, et encore moins d'un buffer overflow comme l'auteur crétin du POC le stipule (quand on sort un POC on essaye de debugger un minimum le programme...) Titre: première faille firefox Posté par: SeVeN le 13 Décembre 2005 à 13:30:22 Ah et ton exploit critique Perfect Slayer, c'est pour Firefox <= v1.04, ça commence à dater un peu (meme si l'exploit est sorti très recemment).
Bref pour le moment, y'a aucune faille pour Fx 1.5, et celle pour 1.04 a déjà été corrigée y'a un moment. Le bug va peut etre nous permettre de tester le nouveau système de mise à jour. Titre: première faille firefox Posté par: noitan le 13 Décembre 2005 à 20:35:48 Jsuis pas doué en failles, ca m'a semblé interressant **No Sms** suis dis si ca me sert pas à moi, ca peut peut etre servir a quelqu'un sur ce forum !!!
Voilou =D maintenant l'info est vérifiée !! dsl Titre: première faille firefox Posté par: Perfect Slayer le 13 Décembre 2005 à 21:19:18 Citation de: SeVeN Ah et ton exploit critique Perfect Slayer, c'est pour Firefox <= v1.04, ça commence à dater un peu (meme si l'exploit est sorti très recemment). Bah dsl.. J'ai pas pris le temps de la lire en fait.. j'l'ai vu par mail et j'me suis dit qu'elle était récente. J'ai pas trop le temps avec les cours donc je me la gardais pour les vacances. Je ferais plus attention la prochaine fois :wink:Bref pour le moment, y'a aucune faille pour Fx 1.5, et celle pour 1.04 a déjà été corrigée y'a un moment. Le bug va peut etre nous permettre de tester le nouveau système de mise à jour. |