[Résolu] Maxthon 3.0.18.1000 CSS Denial of Service Vulnerability

[Ldfa]

Une vulnérabilité DOS au niveau CSS a été découverte dans la dernière version 3.0.18.1000 de Maxthon, plus d'infos ici : http://www.exploit-db.com/exploits/15394/

[Dixours]

Je ne suis pas un spécialiste, mais je ne vois pas de vulnérabilité... il arrive à faire planter Maxthon en créant/lisant 10000000 lignes de code CSS d'un coup, c'est ça ?

Personnellement j'arrive à faire planter Maxthon pour moi que ça ces derniers temps (c'est peut-être un de mes plugin le problème)

 

Quelqu'un pourrait-il m'expliquer la faille ? Le fait de faire planter volontairement Maxthon provoque une brèche de sécurité ?

[Ldfa]

Aucune idée, je ne suis pas un spécialiste non plus, j'ai juste fait remonter le lien aux développeurs sur http://bugtracker.maxthon.com.

[ricouz]

Salut

 

Quelqu'un pourrait-il m'expliquer la faille ? Le fait de faire planter volontairement Maxthon provoque une brèche de sécurité ?

 

En sécurité on considère que le DOS (Denial of Service) est une faille de sécurité.

Mais, pour un navigateur, je trouve que c'est un peu limite de considérer ça comme une faille, pour un site par exemple là je suis d'accord mais un navigateur....

Bon d'accord le navigateur plante, et alors, si derrière rien n'est exploité bof .....

 

Ceci dit en développement on apprend que l'on doit protéger son développement contre ce genre de problème.

[Dixours]

En sécurité on considère que le DOS (Denial of Service) est une faille de sécurité.

 

Avec un serveur je comprends, mais comme tu dis, avec un navigateur, je vois pas bien...

Quoiqu'il en soit, et comme tu le dis encore si bien, autant que ce soit patché pour éviter ce type de plantage

[Ldfa]

Encore un bulletin concernant la faille de Maxthon chez OBS (Orange Business Services) : http://vigilance.fr/vulnerabilite/Maxthon-...e-via-CSS-10095

 

Aucune réaction au niveau des développeurs pour l'instant.

[PatMax]

Si cela s'appelle une faille de sécurité, je peux vous en trouver à tour de bras.

 

Franchement c'est une baguatelle et rien de bien grave pour nous utilisateurs de Maxthon si ce n'est que cela plante notre navigateur et que nous devons le redémarrer.

Si cela n'arrivait jamais avec nos différents programmes, nous pourrions dire, "c'est vraiment dommage". Mais qui n'a jamais planté son ordi pour une broutille.

 

De plus, le fait de planter le programme, ne donne pas accès à quelques internautes, hackers, krackers et autres pseudo-bidouilleurs du dimanche.

 

En tant que webmaster, créateur de sites web, je ne vois pas l'intérêt d'aller placer un code couleur plus long que nécessaire dans son CSS, à moins de vouloir discréditer son travail.

 

Moi en tout cas, je dis bravo pour le travail des programmeurs et autres intervenant de ce navigateur même si je trouve encore dommage qu'il y est encore des différences d'affichage entre les moteurs de navigation, ce qui m'oblige à perfectionner mes codages pour qu'ils soient performants avec les deux.

[Dixours]

je trouve encore dommage qu'il y est encore des différences d'affichage entre les moteurs de navigation, ce qui m'oblige à perfectionner mes codages pour qu'ils soient performants avec les deux.

 

Je suis tout à fait de ton avis ! Mais as-tu vu la dernière Platform Preview #6 (sortie le 29 Octobre en France) de Internet Explorer pour les développeurs ? IE9 semblera encore plus respectueux des standards (d'après les test réalisés depuis 5 jours) que n'importe-quel de ses concurrents !! Si bien qu'enfin, j'ai bon espoir que les différences d'affichage fassent bientôt partie du passé !! Sans compter que les Core seront exploités à fond et le moteur javascript a encore été amélioré depuis la version béta sortie récemment !!

[Ldfa]

Il faut toutefois faire très attention aux conclusions, peut être trop hâtives, de la part de Microsoft : http://www.generation-nt.com/html5-w3c-tes...te-1111581.html

[Ldfa]

La vulnérabilité a été corrigé le 08/11/2010 par les développeurs Maxthon, voici le rapport posté sur le Bugtracker de Maxthon : http://bugtracker.maxthon.com/view.php?id=280