Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Juillet noir pour les navigateurs Internet

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Juillet noir pour les navigateurs Internet

On croirait rêver, mais il s’agit bien de la réalité. H.D Moore, qui est d’ailleurs à l’origine du projet Metasploit, a décidé de divulguer une trentaine de vulnérabilités affectant divers butineurs. Tous les jours, le détail d’une faille sera posté sur un blog dédié et ceci pendant tout le mois de Juillet !


Tout a commencé alors que H.D Moore développait un outil a baptisé hamachi a lui permettant d’automatiser la détection de vulnérabilités localisées dans des Contrôles ActiveX.

La technique que H.D Moore souhaite mettre en oeuvre avec ce logiciel est la méthode dite du  » fuzzing « . Ce procédé peut être apparenté au  » brute forcing « . Il s’agit d’envoyer des données aléatoires et aléatoirement aux différents points d’entrée de l’ActiveX et d’observer ses réactions. En cas de  » crash  » du navigateur ou de comportements anormaux, il y a de fortes chances pour qu’une faille ne soit pas très loin … La technique du fuzzing est également utilisée pour dénicher des vulnérabilités de type  » buffer overflow  » lorsqu’on ne dispose pas du code source d’un binaire. C’est également grâce à cette méthode que la vulnérabilité ASN.1 fut découverte.

Après plusieurs semaines de tests intensifs, les résultats tombent et les failles pleuvent. Grâce à son outil et à d’autres programmes du même genre (axfuzz , COMRaider, DOM-Hanoi, CSS-Die, MangleMe ), H.D Moore a découvert de nombreux défauts dans les navigateurs Internet Explorer, Firefox, Safari, Konqueror et Opera. Tous les jours du mois de Juillet, une vulnérabilité sera postée sur un blog dédié et ironiquement intitulé BrowserFun .

Nul doute que la sécurité des navigateurs deviendra un véritable enjeu dans les prochains mois. La fondation Mozilla en fait d’ailleurs un argument de poids pour Firefox et aux vues des parts de marchés gagnées ces derniers mois, il semble bien fonctionner. Moralité : en Juillet, surfez patché … autant que vous le pouvez !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.