Corrige Firefox Bogues du concours Hacking Zero-day

Just days Après qu'un pirate ait publié un code qui pourrait être utilisé pour attaquer le navigateur Firefox, les développeurs de Mozilla ont un correctif.

Ils ont sorti une version 3.0.8 mise à jour de leur navigateur phare vendredi après-midi, deux jours après son publication sur Milw0rm

Cette mise à jour corrige également un bug révélé à la firme de recherche TippingPoint la semaine dernière par un pirate informatique qui l'utilisait pour gagner le concours Pwn2Own de l'entreprise à la conférence sur la sécurité de CanSecWest. Il était l'un des trois utilisés par un hacker allemand, qui a donné seulement son prénom, Nils, pour réclamer 15 000 $ US en espèces et un ordinateur portable comme prix.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Les développeurs de Mozilla avaient décrit la publication comme une "mise à jour de sécurité de premier ordre" grâce au code d'attaque, connu sous le nom d'exploit "zero day". Le travail rapide a porté ses fruits, comme ils s'attendaient à ce qu'il prenne jusqu'à la semaine prochaine pour terminer les tests.

Mozilla dit que les deux bugs sont "critiques".

La faille de Nils exploitait un bug dans une routine Firefox appelée méthode _moveToEdgeShift. Il l'a utilisé pour pirater le navigateur fonctionnant sur Mac OS X, mais cela pourrait aussi affecter d'autres plateformes.

L'autre faille, qui concerne la façon dont le navigateur traite les feuilles de style XSL (Extensible Stylesheet Language), affecte Firefox sur

Ces deux bogues pourraient être déclenchés en incitant une victime à consulter une page Web malicieusement codée, ce qui permettrait à un attaquant d'installer un logiciel non autorisé sur le système d'une victime. Ce type de malware Web, appelé téléchargement drive-by, est devenu de plus en plus populaire ces dernières années.

La prochaine mise à jour de Firefox, 3.0.9, devrait sortir le 21 avril.