Firefox 1.5 rencontre sa première faille de sécurité

Ce n’était qu’une question de temps : la première faille de sécurité du tout récent Firefox 1.5, lancé par la Fondation Mozilla fin novembre (voir édition du 29 novembre 2005), a été découverte. Elle tient en quelques lignes de code Javascript dont le chargement dans une page Web suffirait à interdire le redémarrage du navigateur. Une vulnérabilité handicapante mais qui n’implique pas la sécurité du reste de la plate-forme.

C’est un certain Ziplock qui, le 5 décembre dernier a priori, a démontré la pertinence du concept (proof of concept) sur le site Packetstormsecurity.org. Information aussitôt commentée le 8 décembre par l’Internet Storm Center (ISC). « Cette vulnérabilité a été testée [sous Windows XP SP2] et fonctionne, et aucun correctif n’est disponible pour le moment », écrit John Bambenek.

Désactiver l’historique de navigation

La faille est imputable à la gestion des historiques de navigation qui provoque une sorte de débordement de mémoire tampon entraînant un déni de service (denial of service). « Si l’en-tête de la page est construit de manière assez longue, cela plante le navigateur à chaque démarrage », précise John Bambenek. Il suffirait de supprimer manuellement le fichier History.dat pour libérer le navigateur. Autre astuce : fixer à 0 le nombre de jours que Firefox doit conserver dans l’historique de la navigation (menus Outils > Options > Vie privée > Historique). Auquel cas, il faudra naturellement se passer de la mémoire des sites visités.