Bientôt dix jours et la dernière vulnérabilité critique découverte dans Firefox n’est toujours pas corrigée. Pour faire patienter ses utilisateurs, la Fondation Mozilla a publié un réglage spécifique chargé de désactiver le composant troué. Mais la nouvelle ne s’est pas vraiment ébruitée et la grande majorité des navigateurs libres demeurent vulnérables. C’est dommage, car du côté des pirates on s’active pour tenter d’exploiter cette faille à grande envergure.
L’agitation est évidente sur les listes de diffusion spécialisées : on y travaille dur pour trouver un exploit efficace contre Firefox. Depuis l’annonce, il y a dix jours, d’une vulnérabilité critique, le navigateur libre se retrouve ainsi l’objet de toutes les attentions. Le découvreur de la faille n’ayant pas publié son code d’exploitation, les petites mains du hacking s’y sont mises dès l’annonce officielle. Depuis, plusieurs exploits ont été annoncés sur des listes de discussion, mais aucun n’est encore très convaincant (ils sont non confirmés, instables ou utilisables dans une configuration de Windows trop particulière pour être rentables).Aucun de ces PoC n’a en outre été rendu public, et il semblerait qu’aucune attaque impliquant cette vulnérabilité ne se soit encore produite. Mais il ne faudra probablement plus très longtemps avant qu’un code d’exploitation ne soit diffusé. Et s’il se trouve être stable et simple à reproduire, Firefox pourrait alors se retrouver dans une situation que connaît très bien Internet Explorer : ouvrant la porte du PC aux codes malicieux en tous genres.Sauf, bien, sûr, si la Fondation Mozilla parvient à sortir une version corrigée à temps. Mais dix jours après l’annonce de la faille, elle n’a encore publié aucun vrai correctif. Certes, au lendemain de la publication elle diffusait des instructions et un patch censé désactiver le composant vulnérable en attendant la version suivante du navigateur. Mais rare sont les internautes à en avoir entendu parler et la grande majorité des versions 1.0.6 en circulation demeurent donc vulnérables.Heureusement, la version salvatrice (1.0.7) n’est plus très loin. Quelques jours à peine après la publication de la faille une bêta était d’ailleurs déjà téléchargeable pour les connaisseurs. Elle n’a cessé de mûrir et elle en est désormais au stade de pré-diffusion dit de « Release Candidate« .Mise à jour du 21/09/05 : Firefox 1.0.7 est désormais disponible.Cette affaire a de quoi laisser une impression mitigée aux défenseurs de l’Open Source : certes, un correctif provisoire (et sommaire, puisqu’il se contentait de désactiver la fonction vulnérable) était bien disponible au lendemain de la publication de la faille. L’honneur est donc sauf en ce qui concerne la rapidité de réaction. Mais dix jours après, aucune version corrigée finale n’est encore disponible. Et surtout bien peu d’internautes sont au courant de l’existence du patch provisoire ou d’une bêta capable de les protéger (même s’il ne s’agit pas de son rôle).Dans ces conditions le manque de communication efficace a rendu inutile la célérité de la Fondation Mozilla. A défaut d’être capable d’avertir ses utilisateurs les moins spécialistes, Firefox aurait tout aussi bien pu rester non corrigé ces dix derniers jours.