oXfoZ, webagency experte en technologies open-source

Mozilla : une soi-disant faille 0-day dans Firefox 3.5.1

La première mise à jour de maintenance de Firefox 3.5 est encore toute récente, et elle a notamment permis le comblement d’une vulnérabilité de sécurité JavaScript dans le compilateur Just-in-Time.

Quelques heures après l’annonce officielle de la disponibilité de Firefox 3.5.1, plusieurs rapports ont fait surface sur la Toile pour confirmer une nouvelle vulnérabilité dans le navigateur. En l’occurrence, cette vulnérabilité a en réalité été publiée la vielle de la sortie de Fx 3.5.1 et affecte également les versions antérieures du navigateur dans sa branche 3.x.

Ladite vulnérabilité est liée à un problème au niveau de la manipulation par la méthode JavaScript document.write() de longues chaînes de caractères Unicode. Une preuve de concept est disponible, et l’exploitation de la vulnérabilité de type dépassement de pile à distance peut conduire à l’exécution de code arbitraire ou à défaut à une attaque par déni de service.

source et suite de l’article