Ma petite parcelle d'Internet...

À tout seigneur tout honneur, les trois premiers bugs mentionnés concernent Microsoft Internet Explorer et ne semblent pas (à ma connaissance) avoir fait l'objet de patches de la part de l'éditeur, prévenu le 6 mars dernier. Ça commence à fleurer bon le règlement de compte entre les gens de Metasploit et Microsoft, et que je te traite d'irresponsable, et que je te reproche de ne pas patcher assez vite.

Toujours est-il que si l'éthique est discutable, l'initiative permettra aux intéressés de se pencher sur les aspects techniques de la chose. Et pour ce faire, on pourra aller voir, côté publications :

• Browser fuzzing for fun and profit, un billet du blog de Metasploit sur le sujet ;
• Browsers feel the fuzz, un article de Securityfocus pas technique pour un kopek, mais pas forcément inintéressant ;
• Les slides de Michael Sutton sur le fuzzing (vidéo, outils) à Recon 2006

Côté outils, un coup d'œil aux fuzzers mis à disposition par Metasploit pour tester les browsers (liens disponibles sur le blog) :

• Hamachi qui va regarder la robustesse vis-à-vis des erreurs DHML ;
• CSS Die qui va injecter des erreurs au niveau des CSS ;
• DOM Hanoi qui porte encore sur DHTML avec des empilage/dépilage d'objets DOM ;
• Mangleme, le fuzzer de Michal Zalewski (auteur de Silence on the Wire), qui s'est illustré il y a peu par une jolie publication sauvage sur MSIE encore une fois, qui a fait voyager pas mal d'octets à travers une toile déjà chargée...

Enfin, quelques résultats très spécifiques des analyses de Michal Zalewski :

• http://lcamtuf.coredump.cx/mangleme/gallery/
• http://lcamtuf.coredump.cx/crash/

Comme quoi, il y a encore des choses à trouver...

Mais les afficionados de Mozilla, Firefox, Camino et autres dérivés vont probablement avoir de quoi satisfaire leur curiosité. Et puisque c'est la saison des paris, à votre avis, qui va totaliser le meilleur score à la fin ? IE ou Mozilla/Firefox ? Et pourquoi pas Opera ? Bon OK, j'arrête...