l'affaire de la vulnérabilité JavaScript-Firefox

[antistress]

J'écris l'affaire de la vulnérabilité JavaScript-Firefox car ç'en est une dorénavant!

Je rappelle les faits - tout commence avec :

Possible Vulnerability Reported at Toorcon

When someone says they’ve identified a vulnerability, we treat it as real until we can verify otherwise. We immediately begin investigating and trying to fix it. This is how we’re able to ship fixes so quickly.

At Toorcon this weekend, two speakers claimed they found vulnerabilities in the Javascript VM. Of course we take that very seriously.

So far we’ve been able to reproduce a denial of service issue based on the information they gave during their talk. In some cases this causes a crash based on an out of memory error. Based on the information we have at this time we have not been able to confirm whether an attacker can achieve code execution. We’re still investigating and we’ll keep you updated.

-Window Snyder

Posted October 2nd, 2006

Et bien il y a un rebondissement :

Update: Possible Vulnerability Reported at Toorcon

We got a chance to talk to Mischa Spiegelmock, the Toorcon speaker that reported the potential javascript security issue referenced earlier. He gave us more code to work with and also made this statement and agreed to let me post it here:

The main purpose of our talk was to be humorous.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take ***spam*** anyone else’s computer and execute arbitrary code.

I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,

Mischa Spiegelmock

Even though Mischa hasn’t been able to achieve code execution, we still take this issue seriously. We will continue to investigate.

-Window Snyder

Posted October 2nd, 2006

On dira ce qu'on veut, mais je pense bien que la Fondation a menacé cette personne de sévères ppoursuites!

[leviathan]

on dira ce qu'on veut, mais je pense bien que la Fondation a menacé cette personne de sévères ppoursuites!

Et peut-on savoir ce qui te fait dire ça? Parce que, ils pourrait les poursuivre pour quoi? le logiciel est libre, donc les sources sont étudiables, ils n'y a donc rien d'illégal à découvrir des failles.

Je n'arrive pas à voir sur quel motif ils pourrait être poursuivi (manque de tact et de courtoisie?). J'accepterai volontier un complément d'informations à ce sujet.

Cordialement,
Léviathan

[antistress]

diffamation et dérivés pardi

la liberté d'expression a ses limites

[Téthis]

diffamation et dérivés pardi

la liberté d'expression a ses limites

Formidable ! Il va falloir montrer patte blanche avant de dire qu'on a découvert une faille (il y en avait une mais pas possibilité, jusqu'à présent, d'exécuter du code arbitraire sur la machine de l'utilisateur).

Il suffira à n'importe quel éditeur, hum... par exemple, Microsoft, à l'annonce de la découverte d'une faille de la réfuter partiellement pour envoyer la personne à l'origine aller bouffer du pain moisi dans un cachot d'un pays oublié.

Tout le monde joue le jeu de recevoir des critiques et des annonces de découverte de failles. On doit le faire encore plus quand on donne à tout le monde la possibilité de voir les tréfonds de son travail.

[antistress]

leviathan & Téthis je crois que nous ne nous comprenons pas.

Divulguer une faille d'un logiciel est une chose,

Prétendre qu'une faille existe dans un logiciel, qu'elle peut être exploitée pour prendre le contrôle d'un ordinateur, et qu'il en existe trente autres, alors que c'est faux, en est une autre.

Dans ce deuxième cas, il s'agit visiblement d'une manoeuvre visant à porter préjudice de manière injustifiée à la réputation d'un logiciel, certainement répréhensible en tant que telle ou par le biais de dommages et intérêts.

Avez vous lu de quoi il s'agit ?!

[Téthis]

Dans ce deuxième cas, il s'agit visiblement d'une manoeuvre visant à porter préjudice de manière injustifiée à la réputation d'un logiciel, certainement répréhensible en tant que telle ou par le biais de dommages et intérêts.

Avez vous lu de quoi il s'agit ?!

oui, spidermonkey est une brouette à un bras.

Même MS n'attaque pas tous ceux qui bavent dessus ou racontent des [s]conn[/s]n'importe quoi parce que maintenant ils sont sous [s]ubunt[/s]linux.

La fondation Moz. devrait plus s'inquièter de mozilla bloatfox et de le remettre en client leger au lieu d'épater la galerie avec des technologies ecmascript 1.7 avec des générateurs/itérateurs, expressions "let" et autres gadgets technologiques web 2.0.1a qui ne seront utilisés que par 0.0005% des dev. web. : http://developer.mozilla.org/fr/docs/No ... Script_1.7

Il faut y mettre un pythonscript ou rubyscript comme ça tout est réglé.

[antistress]

tu peux expliciter ?

[antistress]

Pour ce qui est de la partie techno que tu critiques, n'oublions le projet Xul runner qui fait que Gecko dépasse largement Firefox