Il y a des karmas difficiles. Celui de Window Snyder, par exemple, qui a récemment quitté son poste au sein de l’équipe sécurité Windows chez Microsoft pour devenir responsable de la sécurité du navigateur libre Firefox. Si elle a pensé avoir fait le bon choix à la vue de la série de failles gravissimes qui ont frappé Internet Explorer ces derniers temps, son répit n’aura été que de courte durée.

Selon deux hackers, l’interpréteur Javascript du navigateur libre permettrait de provoquer un dépassement de mémoire tampon exploitable. Il serait ainsi possible, tout comme Internet Explorer, d’installer n’importe quoi sur l’ordinateur à la seule visite d’un site web piégé. Toutes les plates-formes supportées par Firefox (Windows, MacOS X et Linux) sont vulnérables.

Une présentation statique de l’attaque a été faite durant la conférence Toorcon de San Diego. Plusieurs membres de l’équipe sécurité de Firefox y assistaient, dont leur responsable Window Snyder.

Selon elle, la vulnérabilité ressemble à une variante d’une autre, déjà corrigée. Et d’ajouter que si c’est le cas, le patch ne sera pas facile à réaliser. Une estimation que semble partager les pirates, pour qui l’implémentation de Javascript dans Firefox est « un fouillis total, impossible à patcher ».

Les deux hackers ont tenus à présenter leur découverte sans avertir la Fondation Mozilla. Et même l’intervention d’un technicien de la fondation, sur scène, aura été inutile. Ce dernier leur aura pourtant rappelé que la Fondation Mozilla offre 500 dollars pour chaque vulnérabilité révélée. Sans effet.

Les pirates, qui affirment disposer d’une trentaine de vulnérabilités du même ordre, ont préféré en faire cadeau à la communauté dite « Black Hat », celle des hackers aux motivations les moins éthiques.

Une fois reproduites, ces vulnérabilités seront donc probablement utilisées pour l’installation de bots et autres logiciels publicitaires sur le ordinateurs des utilisateurs de Firefox.