A l'occasion de la conférence de sécurité ToorCon, qui se tenait ce week-end à San Diego - ToorCon rassemble des hackers et des spécialistes de la sécurité-, deux hackers ont profité de leur présentation pour affirmer que le moteur JavaScript de Firefox est un "bordel" complet et comporterait près d'une trentaine de failles. Mischa Spiegelmock et Andrew Wbeelsoi, les deux hackers en question, ont fait la démonstration de la faisabilité d'une attaque par débordement de pile sur FireFox, une attaque qui, après vérification par les développeurs de Firefox, ne permettrait toutefois pas à l'assaillant de prendre le contrôle du PC de l'utilisateur, mais se solderait par un déni de service et le plantage de Firefox. Selon Window Snyder, la responsable de la sécurité de Mozilla, le niveau de menace à l'origine détaillé par les deux hackers n'est pas réaliste. Dans un communiqué commun avec Mozilla, Spiegelmock reconnaît qu'il a mentionné lors de sa présentation une vulnérabilité connue de Firefox qui pourrait se traduire par une attaque en débordement de pile permettant l'exécution d'un code malicieux sur le PC hébergeant le navigateur. Mais il précise que le code présenté lors de la conférence ne permettait pas un telle attaque et qu'il n'a ni connaissance ni ne dispose d'un tel code. Et d'ajouter qu'il n'a pas connaissance de 30 vulnérabilités dans Firefox et que c'est son co-speaker qui a fait cette affirmation. Du côté de Mozilla, l'enquête se poursuit, avec une seule certitude : certaines portions du code Javascript de Mozilla ont aujourd'hui près de dix ans et mériteraient peut-être une ré-écriture. Ce qui n'est pas forcément d'un code bourré de failles, ....