Une faille de sécurité dans le navigateur Internet Netscape pose quelques interrogations quant à la volonté d'AOL de continuer le développement de ce programme.
Dans une news précédente, nous mentionnions une faille détectée sur le navigateur Internet Netscape. Voici quelques précisions.
Netscape appartient à America OnLine (AOL), mais s'appuie fortement sur les travaux de la Fondation Mozilla; le moteur de rendu graphique utilisé dans la dernière version stable (7.2) et la future version 8 (déjà disponible en beta ici) est d'ailleurs le même (Gecko) que celui qu'arborent la suite Mozilla et Firefox.
Là où le problème se corse, c'est que c'est AOL qui développe ce navigateur, avec l'appui de quelques consultants externes, et semble le faire en pratiquant des économies de bouts de chandelles; soit les failles qui sont communiquées à l'équipe de développement ne font pas l'objet d'un traitement rapide, soit elles ne sont purement et simplement pas publiées! La firme de sécurité informatique Secunia indique d'ailleurs que 53% des vulnérabilités identifiées sur Netscape 7.x ne sont jamais résolues, contre 29% pour les versions 6.x.
Thomas Kristensen, CTO (Chief Technical Officer; responsable technique) de Secunia, avance que "soit (Netscape) apporte des correctifs sans faire de publicité à leur sujet, soit (Netscape) est infiniment plus lent que les autres éditeurs de navigateurs Internet".
Techniquement, la faille repose sur une faiblesse dans le traitement des images au format 'gif' par le navigateur Netscape: une image piégée au moyen d'un programme malicieux ne serait pas détectée, et pourrait infecter le PC sur lequel le navigateur est installé.
La faille n'est pas nouvelle, et affecte d'ailleurs également la fonction 'kdelibs' de KDE, ou plus particulièrement son composant 'kimgio' lorsqu'il traite des images au format PCX. Comme 'kimgio' est utilisé dans les navigateurs tournant sous KHTML, mais aussi dans le visionnage d'images, comme dans les programmes 'kpresenter' ou ksnapshot', la faille est jugée sérieuse. Elle affecte les versions 3.2 et 3.4 de KDE fonctionnant sous Linux et Unix, indique Secunia.
A la différence de Netscape, un correctif est disponible chez les principaux distributeurs utilisant le rendu graphique KDE, tels que SuSE, Gentoo ou Debian.
